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随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 ,各 地 高 校 紧 密 结合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 , 加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 、 改 
造 传统 学 科 专 业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 ,积极 为 地 方 经 济 建设 输送 人 才 , 为 我 国 经 济 社会 的 快速 ,健康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 咪 待 提高 ,人 才 培 
养 模式 .教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 牙 待 加 强 。 
教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 》, 计 划 实 施 “ 高 等 学 校本 科教 学 质量 与 教学 改革 
工程 "(简称 “质量 工程 ”), 通 过 专业 结构 调整 ,课程 教材 建设 、 实 践 教学 改革 ,教学 团队 建设 
等 多 项 内 容 , 进 一 步 深化 高 等 学 校 教 学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 “质量 工程 ”的 过 程 中 ,各 地 高 校 发 挥 
师资 力量 强 、 办 学 经 验 丰 富 、 教 学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 ,更 新 教学 内 容 、 改 革 课 程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 、 方 法 新 、 手 段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意 
见 ) 精 神 ,紧密 配合 教育 部 已 经 启动 的 “高 等 学 校 教 学 质量 与 教学 改革 工程 精品 课程 建设 工 
作 ”, 在 有 关 专 家 、 教 授 的 倡议 和 有 关 部 门 的 大 力 支持 下 ,我 们 组 织 并 成 立 了 “清华 大 学 出 版 
社 教材 编审 委员 会 "(以 下 简称 * 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教材 的 出 版 规划 ， 
讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 "成 员 皆 来 自 全 国 各 类 高 等 学 校 教学 
与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教学 的 院 长 或 系 主任 。 
按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 ,精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标准 、 
严 要 求 ,处 于 一 个 比较 高 的 起 点 上 。 精 品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 课程 建 
设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 ,新 思路 ,教材 的 内 容 体 系 有 和 较 
高 的 科学 创新 ,技术 创新 和 理念 创新 的 含量 )、 先 进 性 (对 原 有 的 学 科 体系 有 实质 性 的 改革 和 
发 展 ,顺应 并 符合 21 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 和 方向 ) 、 示 范 性 ( 教 
材 所 体现 的 课程 体系 具有 较 广 泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 脆性。 教材 由 个 人 申报 或 
各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 "成员 推 荐 ) ,经 “ 编 委 会 ”认真 评审 ,最 后 由 清华 大 学 出 版 
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社 审定 出 版 。 
目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 * 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 "和 “清华 大 学 出 版 社 电子 信息 教材 编审 委员 会 "。 推 出 的 特色 精品 


教材 包括 : 

(1) 21 世纪 高 等 学 校规 划 教 材 * 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 
专业 的 计算 机 应 用 类 教材 。 

(2) 21 世纪 高 等 学 校规 划 教材 ， 计算 机 科学 与 技术 一 一 高 等 学 校 计 算 机 相关 专业 的 
教材 。 


(3) 21 世纪 高 等 学 校规 划 教材 。 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 
(4) 21 世纪 高 等 学 校规 划 教材 。 软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 
(5) 21 世纪 高 等 学 校规 划 教材 。 信息 管理 与 信息 系统 。 

(6) 21 世纪 高 等 学 校规 划 教材 。 财经 管理 与 应 用 。 

(7) 21 世纪 高 等 学 校规 划 教材 。 电子 商务 。 

(8) 21 世纪 高 等 学 校规 划 教材 。 物 联 网 。 


清华 大 学 出 版 社 经 过 三 十 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 内容 严谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
联系 人 : 魏 江 江 
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随 着 通信 和 计算 机 技术 的 快速 发 展 , 以 及 经 济 全 球 化 应 用 的 推动 ,互联 网 表现 出 了 极 大 
的 使 用 方便 性 和 信息 传递 的 快捷 性 ,这 使 得 人 们 对 信息 网 络 的 依赖 程度 越 来 越 高 。 人 们 在 
传递 信息 的 同时 ,信息 的 安全 性 自然 成 为 所 关心 的 重要 问题 。 

信息 安全 作为 国家 的 重大 战略 ,其 意义 不 言 而 喻 。 信 息 安全 也 关乎 每 个 人 信息 的 安全 。 

作者 根据 多 年 教学 经 验 和 科研 经 验 ,在 学 习 和 总 结 国内 外 相关 文献 的 基础 上 ,完成 了 本 
书 的 撰写 工作 。 

本 书 的 特色 是 用 通俗 易 懂 的 语言 ,对 信息 安全 技术 中 的 基本 原理 和 技术 进行 准确 阐述 ， 
并 配合 适当 的 例题 进行 深入 研究 ,包括 各 种 密码 体制 ,以 及 信息 安全 在 日 常 应 用 中 的 诸多 应 
用 安全 技术 。 

全 书 共 分 为 12 章 。 第 1 章 是 信息 安全 概述 ; 第 2 章 至 第 8 章 介 绍 密 码 学 相关 技术 ; 第 
9 章 介 绍 操作 系统 应 用 中 的 安全 技术 ; 第 10 童 介绍 计算 机 病毒 和 木马 的 相关 概念 和 技术 ; 
第 11 章 介绍 人 侵 检 测 技术 ; 第 12 章 介绍 无 线 网 络 安全 技术 。 

本 书 的 第 1 章 和 第 2 章 由 任 洪 娥 编写 ,第 3 一 5 章 由 张 健 编 写 , 第 6 章 和 第 7 章 由 黄 英 
来 编写 ,第 8 章 和 第 9 章 由 郭 继 峰 编写 ,第 10 一 12 章 由 李 三 平 编写 , 张 健 负责 全 书 的 统 编 。 

为 配合 本 课程 的 教学 需要 ,本 教材 为 教师 配 有 习题 参考 答案 ,可 发 E-mail(ZhengYK@ 
tup. tsinghua. edu. cn) 联 系 索取 。 

作者 要 特别 感谢 参考 文献 中 所 列 的 各 位 作者 ,是 他 们 的 独到 见解 为 本 书 提供 了 宝贵 的 
资料 及 丰富 的 写作 源泉 。 限 于 作者 的 水 平和 学 识 , 书 中 难免 存在 朴 漏 和 错误 之 处 , 诚 望 读 者 
不 音 赐教 。 

最 后 , 谨 向 每 一 位 关心 和 支持 本 书 编写 工作 的 各 方面 人 士 表示 感谢 ! 清华 大 学 出 版 社 
为 本 书 的 出 版 做 了 大 量 的 工作 ,在 此 表示 囊 心 的 谢意 ! 
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信息 安全 概述 | 


随 着 计算 机 网 络 的 不 断 发 展 ,全 球 信息 化 已 成 为 人 类 发 展 的 大 趋势 。 但 由 于 计算 机 网 
络 具有 连接 形式 多 样 性 、 终 端 分 布 不 均匀 性 和 网 络 的 开放 性 、 互 联 性 等 特征 ,致使 网 络 易 受 
黑客 . 怪 客 恶意 软件 和 其 他 攻击 ,所 以 网 络 上 信息 的 安全 和 保密 是 一 个 至 关 重 要 的 问题 。 


G1 信息 安全 与 网 络 安全 


信息 安全 是 指 信息 网 络 的 硬件 ,软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 、 更 改 `. 泄 露 , 系 统 连续 可 靠 正常 地 运行 ,信息 服务 不 中 断 。 

信息 安全 是 一 门 涉 及 计算 机 科学 、 网 络 技 术 、 通 信 技 术 、 密 码 技术 ,信息 安全 技术 、 应 用 
数学 ,数论 .信息论 等 多 种 学 科 的 综合 性 学 科 。 

计算 机 网 络 最 重要 的 方面 是 向 用 户 提供 信息 服务 及 其 所 拥有 的 信息 资源 ,网 络 安全 从 
其 本 质 上 来 讲 是 指 网 络 上 信息 的 安全 ,可 将 网 络 信息 分 为 静态 信息 和 动态 信息 ,静态 信息 为 
存储 于 网 络 节点 上 的 信息 资源 ,将 传播 于 网 络 节 点 间 的 信息 , 称 为 动态 信息 。 国 际 标准 化 组 
织 (ISO) 将 “计算 机 的 安全 "定义 为 “为 数据 处 理 系统 建立 和 采取 的 技术 和 管理 的 安全 保护 ， 
保护 计算 机 硬件 、 软 件数 据 不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 、 更 改 和 泄漏 ”, 此 概念 偏重 于 
静态 信息 保护 。 此 外 “计算 机 安全 " 亦 被 定义 为 :“ 计 算 机 的 硬件 ,软件 和 数据 受到 保护 ,不 
因 偶然 和 恶意 的 原因 而 遭 到 破坏 ,更改 和 泄露 ,系统 连续 正常 运行 。 "该 定义 着 重 于 动态 信息 
的 描述 。 网 络 安 全 本 质 上 是 信息 安全 的 引申 ,网 络 安全 是 对 网 络 信息 保密 性 、 完 整 性 .可 用 
性 以 及 真实 性 的 保护 。 其 本 质 是 在 信息 的 安全 期 内 保证 信息 在 网 络 上 流动 时 或 者 静态 存放 
时 不 被 非 授 权 用 户 非法 访问 ,但 授权 用 户 可 以 访问 。 


(2 网 络 面临 的 安全 威胁 


网 络 必须 有 足够 强 的 安全 措施 ,否则 网 络 将 是 个 无 用 、 甚 至 会 危及 国家 安全 的 网 络 。 无 
论 是 在 局 域 网 还 是 在 广域网 中 ,都 存在 着 自然 和 人 为 等 诸多 因素 的 脆弱 性 和 潜在 威胁 。 
此 ,网 络 的 安全 措施 应 能 全 方位 地 针对 各 种 不 同 的 威胁 和 脆弱 性 ,这 样 才能 确保 网 络 信息 的 
保密 性 、 完 整 性 和 可 用 性 。 

网 络 安全 就 是 网 络 上 的 信息 安全 ,涉及 的 领域 很 广 。 网 络 安全 是 指 网 络 系统 的 硬件 、 软 
件 及 其 系统 中 的 数据 受到 保护 ,不 因为 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 更改、 泄露 ,系统 
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连续 可 靠 正 常 地 运行 ,网 络 服 务 不 中 断 ,包括 以 下 含义 : 
(1) 网 络 运行 系统 安全 ; 
(2) 网 络 上 系统 信息 的 安全 ; 
(3) 网 络 上 信息 传播 的 安全 , 即 信息 传播 后 的 安全 ; 
(4) 网 络 上 信息 内 容 的 安全 。 
网 络 安全 具有 5 个 要 素 。 
(1) 可 用 性 : 授权 实体 有 权 访 问 数据 ; 
(2) 机 密 性 : 信息 不 暴露 给 未 授权 实体 或 进程 ; 
(3) 完整 性 : 保证 数据 不 被 未 授权 修改 ; 
(4) 可 控 性 : 控制 授权 范围 内 的 信息 流 及 操作 方式 ; 
(5) 可 审查 性 : 对 出 现 的 安全 问题 提供 依据 与 手段 。 
网 络 安全 的 内 容 有 
(1) 物理 安全 ; 
(2) 网 络 安全 ; 
(3) 传输 安全 ; 
(4) 应 用 安全 ; 
(5) 用 户 安全 。 
网 络 设计 之 初 是 为 了 方便 信息 的 交流 与 开放 ,实现 网 络 资源 数据 的 共享 ,而 对 于 保障 信 
息 安 全 方面 的 规划 则 非常 有 限 。 伴 随 计算 机 与 通信 技术 的 迅速 发 展 , 由 于 各 种 原因 ,网 络 面 
临 着 各 式 各 样 的 安全 威胁 ,诸如 灾害 (火灾 、 和 雷击 `. 地 震 等 ) ,网 络 结构 的 缺陷 ,一 些 恶意 攻击 
( 窃 密 、 重 放 、 算 改 等 ) ,以 及 软件 漏洞 等 。 这 些 最 为 主要 的 威胁 导致 网 络 固有 的 优越 性 .开放 
性 和 互联 性 , 变 成 了 信息 安全 性 隐患 的 便利 渠道 。 安 全 的 目的 是 将 计算 机 系统 中 的 服务 与 
资源 的 任何 弱点 降 到 最 低 限 度 , 即 将 计算 机 系统 的 脆弱 性 降低 到 最 低 程度 。 网 络 安全 问题 
与 网 络 的 脆弱 性 紧密 相关 ,其 脆弱 性 体现 在 以 下 几 点 。 


1. 软件 的 脆弱 性 


随 着 软件 规模 的 不 断 扩大 ,各 种 系统 软件 .应 用 软件 也 变 得 越 来 越 复杂 ,只 要 有 软件 ,就 
有 可 能 存在 漏洞 ,例如 从 Windows 98 到 Windows XP、Windows 7 、Windows 8, 各 种 版 本 


者 恶意 网 站 控制 受害 者 的 机 器 。 此 外 除了 Windows 操作 系统 以 外 ,其 余 的 如 Linux、UNIX 
等 各 个 版 本 或 多 或 少 地 都 存 安全 漏洞 。 虽 然 设计 者 不 断 地 发 现 公 布 新 的 漏洞 ,但 是 在 修改 
了 已 有 的 漏洞 之 后 又 将 会 出 现 新 的 漏洞 ,软件 的 漏洞 有 两 类 : 一 类 是 有 意 制造 的 漏洞 , 男 一 
类 是 无 意 制造 的 漏洞 。 有 意 制造 的 漏洞 是 指 设计 者 为 日 后 控制 系统 或 穷 取 信息 而 故意 设计 
的 漏洞 ,包括 各 种 后 门 、 罗 辑 炸 弹 。 例 如 当年 风靡 电脑 界 的 江 民 逮 辑 炸弹 ,该 逮 辑 炸弹 在 特 
定 条 件 下 对 计算 机 实施 破坏 ,其 结果 与 某 些 计算 机 病毒 的 破坏 作用 相似 ,可 以 造成 电脑 软 硬 
盘 都 不 能 启动 。ASP 源码 问题 是 IIS 服务 的 设计 者 留 下 的 一 个 后 门 , 任 何人 都 可 以 使 用 浏 
览 器 从 网 络 上 方便 地 调 出 ASP 程序 的 源码 ,从 而 可 以 收集 系统 信息 ,进而 对 系统 进行 攻击 。 
无 意 制 造 的 漏洞 是 指 系统 设计 者 由 于 朴 忽 或 其 他 技术 原因 而 留 下 的 漏洞 。 比 如 : 使 用 C 语 
言 的 字符 串 复制 函数 , 因 未 做 合法 性 检查 而 导致 缓冲 区 溢出 。 总 之 这 些 漏洞 成 为 黑客 攻击 
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的 便利 途径 ,所 以 要 及 时 对 系统 和 应 用 程序 打上 最 新 的 补丁 ,及 时 更 新 软件 。 
2. 协议 安全 的 脆弱 性 


计算 机 的 运行 以 及 网 络 的 互联 ,都 是 基于 各 种 通信 协议 的 基础 之 上 的 ,但 是 因特网 设计 
的 初衷 是 为 了 计算 机 之 间 交 换 信息 和 数据 共享 ,缺乏 对 安全 性 整体 的 构想 和 设计 ,协议 的 开 
放 性 、 复 杂 性 以 及 协议 在 设计 时 缺乏 认证 机 制 和 加 密 机 制 ,这 些 使 得 网 络 安全 存在 着 先天 性 
的 不 足 。 当 前 计算 机 系统 使 用 的 FTP、E-mail、NFS 以 及 互联 网 赖 以 生存 的 TCP/IP 协议 
等 都 包含 许多 影响 网 络 安全 的 因素 ,存在 着 许多 漏洞 。 例 如 IP 欺骗 就 是 利用 了 TCP/IP 网 
络 协议 的 脆弱 性 。 


3. 数据 库 管理 系统 安全 的 脆弱 性 


数据 库 主要 应 用 于 客户 /服务 器 (C/S) 平 台 。 在 Server 端 ,数据 库 由 Server 上 的 
DBMS 进行 管理 。 由 于 C/S 结构 允许 服务 器 有 多 个 客户 端 , 各 个 终端 对 于 数据 的 共享 要 求 
非常 强烈 ,这 就 涉及 数据 库 的 安全 性 与 可 靠 性 问题 。 当 前 大 量 的 信息 都 存储 在 各 种 各 样 的 
数据 库 中 ,然而 在 数据 库 系统 安全 方面 考虑 却 很 少 ,有 时 数据 库 管 理 系统 的 安全 与 操作 系统 
的 安全 不 配套 ,这 就 导致 了 数据 库 不 安全 性 因素 的 存在 ,对 数据 库 构 成 的 威胁 主要 有 对 数据 
的 破坏 .泄漏 和 修改 等 。 


4. 人 员 的 因素 


人 为 的 无 意 失误 ,如 操作 员 安全 配置 不 当 造 成 的 安全 漏洞 ,用户 安全 意识 不 强 , 用 户 
口令 选择 不 慎 , 用 户 将 自己 的 账号 随意 转借 他 人 或 与 别人 共享 等 都 会 给 网 络 安全 带 来 
威胁 。 

人 为 的 恶意 攻击 ,是 计算 机 网 络 所 面临 的 最 大 威胁 ,敌手 的 攻击 和 计算 机 犯罪 就 属于 这 
一 类 。 此 类 攻击 又 可 以 分 为 以 下 两 种 : 一 种 是 主动 攻击 , 它 以 各 种 方式 有 选择 地 破坏 信息 
的 有 效 性 和 完整 性 ; 另 一 种 是 被 动 攻击 , 它 是 在 不 影响 网 络 正常 工作 的 情况 下 ,进行 截获 、 
窃取 、 破 译 以 获得 重要 机 密 信 息 。 这 两 种 攻击 均 可 对 计算 机 网 络 造成 极 大 的 危害 ,并 导致 机 
密 数据 的 泄漏 。 

主要 的 攻击 与 威胁 手段 如 下 。 

(1) DoS: 使 目标 系统 或 网 络 无 法 提供 正常 服务 。 

DoS(Denial of Service) ,也 就 是 “拒绝 服务 ?的 意思 。 最 基本 的 DoS 攻击 就 是 利用 合理 
的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 ,如 图 1-1 所 示 。 基 本 过 
程 是 : 攻击 者 向 服务 器 发 送 众 多 的 带 有 虚假 地 址 的 请 求 . 服 务 器 发 送 回 复 信息 后 等 待 回 传 
信息 ,由 于 地 址 是 伪造 的 ,所 以 服务 器 一 直 等 不 到 回 传 的 消息 ,分 配给 这 次 请 求 的 资源 就 始 
终 没有 被 释放 。 在 这 种 反复 发 送 伪 地 址 请 求 的 情况 下 ,服务 器 资源 最 终 会 被 耗 尽 。 

(2) 扫描 探测 : 系统 弱点 探 察 。 

(3) 口令 攻击 : 弱 口令 。 

(4) 获取 权限 ,提升 权限 。 

猜 /crack root 口令 缓冲 区 溢出 、 利 用 系统 或 应 用 Bugs。 

(5) 插入 恶意 代码 : 病毒 .特洛伊 木马 BO) 后门、 恶意 Applet。 
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图 1-1 Dos 攻击 


(6) 网 络 破 坏 : 主页 自 改 ,文件 删除 .毁坏 OS、 格 式 化 磁盘 。 

(7) 数据 窃取 : 敏感 数据 拷贝 .监听 敏感 数据 传输 一 一 共享 媒介 /服务 器 监听 /远程 监 
听 RMON。 

(8) 伪造 .浪费 与 滥用 资源 。 

(9) 自 改 审计 数据 : 删除 ,修改 、 权 限 改 变 、 使 审计 进程 失效 。 

(10) 安全 基础 攻击 : 防火 墙 .路 由 、 账 户 修改 ,文件 权限 修改 。 


(3 我 国 网 络 发 展现 状 及 安全 趋势 


1.3.1 我 国 互 联网 络 的 发 展现 状 


2015 年 3 月 20 日 ,在 工业 和 信息 化 部 的 指导 下 ,由 中 国 互联 网 协会 .国家 互联 网 应 急 
中 心 联合 主办 的 《中 国 互联 网 站 发 展 状况 及 其 安全 报告 (2015 年 )》( 以 下 简称 《4 报告) 发 布 
会 既 “ 网 站 发 展 与 安全 趋势 论坛 "在 北京 举行 。 来 自 工 业 和 信息 化 部 电信 管理 局 .通信 保障 
局 ,国家 互联 网 信息 办 公 室 网 络 社会 工作 局 .数据 技术 局 ,北京 市 通信 管理 局 等 单位 的 有 关 
领导 出 席 了 此 次 会 议 。 中 国 互联 网 协会 备案 部 负责 人 、 国 家 互联 网 应 急 中 心 高 级 工程 师 何 
世 平 、 优 刻 得 云 计 算 (UCloud)CEO 季 昕 华 、. 知 道 创 宇 运行 中 心 总 监 潘 少 华 、 宝 利 九 章 CITO 
Jerry Kang、 东 方 博 盾 董事 长 高 振 宇 等 专家 分 别 在 会 上 作 了 主题 报告 。 

本 次 报告 是 国内 针对 中 国 网 站 发 展 状 况 及 其 安全 的 顶级 专业、 权威 研究 报告 ,报告 对 
中 国 网 站 发 展 总 量 、 中 国 网 站 接 入 服务 市 场 竞争 情况 、 中 国 网 站 分 布 情况 、 网 站 主办 者 组 成 
情况 、 网 站 所 注册 使 用 的 独立 域名 ,专业 互联 网 信息 服务 网 站 发 展 . 中 国 互联 网 行业 创业 创 
新 和 中 国 网 站 的 安全 状况 等 方面 进行 了 全 面 、 深 入 的 统计 ,分析 和 研究 。 

报告 显示 , 近 三 年 来 ,中 国 网 站 的 发 展 实现 止 跌 回升 .呈现 出 稳 中 求 进 的 发 展 态势 ,在 部 
分 行业 和 领域 培育 出 了 一 批 具 有 产业 竞争 能 力 和 一 定 规模 的 互联 网 企业 ,具体 情况 如 下 : 

(1) 中 国 网 站 总 量 继续 保持 规模 化 发 展 。 截 至 2014 年 12 月 底 , 中 国 网 站 总 量 达 到 
364.7 万 余 个 ,同比 年 度 净 增 长 约 14. 1 万 个 ,为 中 国 网 站 提供 互联 网 接 入 服务 的 接 入 服务 
商 1068 家 ,同比 年 度 净 增长 86 家 .网 站 主办 者 近 285 万 个 ,其 中 网 站 主办 者 为 单位 的 约 


第 1 章 ”信息 安全 概述 


211.9 万 个 、 网 站 主办 者 为 个 人 的 73. 1 万 余 个 ,中 国 网 站 所 使 用 的 独立 域名 共计 481. 2 万 
余 个 ,每 个 网 站 主办 者 平均 举办 网 站 1. 3 个 ,每 个 中 国 网 站 使 用 的 独立 域名 平均 1. 3 个 。 全 
国 提供 教育 、 医 疗 保健 、 药 品 和 医疗 器 械 、 新 闻 等 专业 互联 网 信息 服务 的 网 站 约 2. 1 万 个 。 

(2) 中 国 网 站 接 入 服务 市 场 经 营 主 体 多 元 化 ,民营 经 济 春色 满 园 。 一 是 从 事 网 站 接 入 
服务 业务 的 市 场 经 营 主体 快速 增长 。 因 IDC ISP 增值 电信 业务 许可 证 恢复 受理 ,全 年 全 国 
新 增 已 从 事 网 站 接 人 服务 业务 的 市 场 经 营 主体 86 家 。 二 是 国 退 民 进 ,市 场 份额 保持 均衡 ， 
垄断 市 场 尚 未 形成 。 三 家 基础 电信 企业 直接 接 入 的 网 站 仅 为 中 国 网 站 总 量 的 7%, 同 比 下 
降 2 个 百分点 ,单一 接 和 人 服务 商 市 场 份额 均 未 超过 25%。 三 是 接 入 服务 市 场 资本 多 元 化 发 
展 加 速 推进 ,形成 国有 资本 、 民 间 资 本 和 境外 资本 共 融 共 进 的 多 种 所 有 制 经 济 发 展 新 格局 。 
四 是 民营 接 入 服务 商 发 展 成 就 显著 。 接 入 网 站 数量 排名 前 10 的 接 入 服务 商 均 为 民营 接 入 
服务 商 , 接 入 网 站 数量 排名 前 20 的 接 入 服务 商 中 只 有 一 家 基础 电信 企业 省 级 公司 , 且 排 名 
在 第 十 五 。 五 是 云 计算 等 新 型 网 站 接 人 方式 发 展 迅猛 。 以 UCLOUD、 腾 讯 云 、 百 度 云 . 阿 
里 云 等 为 代表 的 云 计 算 公司 如 雨后春笋 ,不 断 涌现 并 发 展 壮 大 。 

(3) 中 国 网 站 区 域 发 展 不 平衡 。 与 中 国 经 济 发 展 高 度 相似 ,中 国 网 站 在 地 域 分 布 上 呈 
现 东部 地 区 多 、 中 西部 地 区 少 的 发 展 格局 ,区 域 发 展 不 平衡 的 问题 较为 突出 。 无 论 从 网 站 主 
办 者 住所 所 在 地 统计 ,还 是 从 接 入 服务 商 接 入 所 在 地 统计 ,网 站 主要 分 布 在 广东 ,北京 、 江 
苏 、 上 海 , 浙 江 ,\ 福 建 、 山 东 等 东部 沿海 省 市 。 

(4) 中 国 网 站 主办 者 中 单位 举办 网 站 是 主流 。 在 364.7 万 个 网 站 中 ,网 站 主办 者 为 “ 单 
位 ?举办 的 网 站 达到 272. 6 万 余 个 , 占 中 国 网 站 总 量 的 74.7%, 同 比 年 度 净 增长 27. 4 万 余 
个 。 其 中 “企业 ”举办 网 站 约 252. 6 万 个 “事业 单位 ?举办 网 站 9. 3 万 余 个 “政府 机 关 ” 举 办 
的 网 站 5. 9 万 余 个 “社会 团体 ”举办 的 网 站 约 4. 8 万 个 。 而 “个 人 ”举办 的 网 站 约 92. 1 万 
个 , 占 中 国 网 站 总 量 的 25.2%, 同 比 年 度 减 少 13. 4 万 余 个 。 

(5) 中 国 网 站 注册 使 用 的 独立 域名 继续 呈 * 三 国 争霸 ”态势 。 在 中 国 网 站 注册 使 用 的 
481. 2 万 余 个 独立 域名 中 ,涉及 的 顶级 域 302 个 , 较 去 年 (277 个 ) 增 长 25 个 ,其 中 注册 使 用 
.cn、. com、. net 域名 的 中 国 网 站 数量 最 多 ,. cn、. com、. net 独立 域名 使 用 数量 占 整个 独立 
域名 总 量 的 94.6%。 截 至 2014 年 12 月 底 ,. com 域名 使 用 数量 最 多 ,达到 约 295. 9 万 个 ; 
其 次 为 . cn 和 . net 域名 ,各 使 用 129. 5 万 余 个 和 约 29.6 万 个 。 

(6) 中 国 网 站 注册 使 用 中 文 域名 和 新 通用 顶级 域名 已 被 市 场 认可 。 中 国 网 站 注册 使 用 
的 中 文 域名 主要 有 5 个 ,分别 为 “. 中 国 ”“. 公司 ”、“. 网 络 ”、“. 公益 ”"“. 政务 ”, 使 用 总 量 
为 69 633 个 ,其 中 “. 中 国 ” 的 域名 数量 最 多 ,52 785 个 , 占 中 文 域名 使 用 总 量 的 75.8%。 与 
此 同时 , 随 着 新 通用 顶级 域 的 入 根 解析 ,为 网 站 配置 使 用 新 通用 项 级 域名 成 为 一 大 趋势 。 如 
“. wang”“. 商城 ”、“. 网 址 ”、“. 我 爱 你 ”、“. 集团 ”、“. ren” 等 新 通用 顶级 域名 已 被 越 来 越 多 
的 中 国 网 站 主办 者 注册 使 用 。 

(7) 专业 互联 网 信息 服务 网 站 发 展 行业 聚焦 ,文化 类 网 站 发 展 一 年 翻番 。 专 业 互 联网 
信息 服务 网 站 主要 集中 在 教育 、 医 疗 保健 、 药 品 和 医疗 器 械 等 行业 和 领域 ,新 闻 、 视 听 节 目 、 
出 版 等 行业 和 领域 发 展 规模 相对 较 小 。 

(8) 中 国 网 站 发 展 体现 以 人 为 本 、 注 重用 户 体 验 的 意识 增强 。 中 国 网 站 主办 者 注重 为 
用 户 提供 更 好 的 用 户 体 验 ,采用 网 站 加 速 、 网 站 安全 防护 等 互联 网 新 技术 新 业务 的 网 站 数量 
及 规模 正在 快速 增长 。 据 2014 年 底 的 数据 显示 ,全 国共 有 近 16 万 个 网 站 顶级 域名 使 用 网 
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站 加 速 、 网 站 安全 防护 等 互联 网 新 技术 新 业务 ,从事 网 站 加 速 、 网 站 安全 防护 等 互联 网 新 技 
术 新 业务 的 网 宿 科 技 . 奇 虎 360、 知 道 创 宇 百度 网 讯 等 互联 网 企业 的 规模 也 在 日 益 扩大 。 

(9) 中 国 网 站 保护 和 促进 文化 多 样 性 。 据 统计 ,中 国 网 站 在 使 用 语言 的 种 类 上 , 除 简体 
中 文 、 繁 体 中 文 和 英语 之 外 ,还 使 用 其 他 语言 的 网 站 数量 达到 2. 1 万 余 个 ,其 中 包括 法 语 、 藏 
语 \、 维 吾 尔 语 、 蒙 古语、 哈萨克 语 、 柯 尔 克 孜 语 、 西 班 牙 语 \ 日 语 、 俄 罗斯 语 等 11 种 语言 ,中 国 
网 站 语言 的 多 样 性 ,有 力 地 促进 了 中 国人 民 的 对 外 友好 交往 和 中 国 的 改革 开放 事业 。 

(10) 中 国 互联 网 行业 创业 创新 活跃 频繁 ,经 过 高 淘汰 率 的 激烈 竞争 ,在 部 分 行业 和 领 
域 成 长 出 了 一 批 具 有 国际 竞争 力 的 知名 企业 。 在 国家 大 力 实施 创新 驱动 发 展 战 略 的 带领 
下 ,互联 网 领域 呈现 出 前 所 未 有 的 创业 创新 热情 和 氛围 ,互联 网 领域 的 创业 创新 正在 引领 新 
一 轮 科技 革命 和 产业 变革 ,创业 创新 是 否 成 功 与 网 站 生存 周期 关系 密切 ,2014 年 全 年 新 开 
通 的 中 国 网 站 数量 约 95. 2 万 个 ,平均 每 月 新 开通 网 站 7. 9 万 余 个 ; 全 年 网 站 主办 者 自行 停 
办 的 中 国 网 站 81. 1 万 余 个 ,平均 每 月 自行 停办 的 网 站 6.7 万 余 个 。 经 过 激烈 的 市 场 竞 争 和 
洗礼 ,在 电 商 .搜索 .社交 游戏 .文学 .旅游 .安全 等 众多 领域 涌现 出 具有 一 定 规模 的 互联 网 
企业 。 

(11) 针对 我 国境 内 网 站 的 仿冒 钓鱼 站 点 成 倍增 长 ,境外 攻击 ,控制 事件 不 断 增加 ,中 国 
网 站 安全 问题 形势 依然 严峻 。 在 仿冒 钓鱼 上 , 据 CNCERT 监测 ,共有 6116 个 境外 IP 地 址 
承载 了 93 136 个 针对 我 国境 内 网 站 的 仿冒 页 面 ,仿冒 页 面 数量 较 2013 年 增长 2. 1 倍 ; 中 国 
反 钓鱼 网 站 联盟 在 2014 年 全 年 共处 理 钓鱼 网 站 51 198 个 ,平均 每 月 处 理 钓鱼 网 站 4266 
个 。 在 算 改 和 植 入 后门 上 , 据 CNCERT 监测 ,境内 被 算 改 网 站 36 969 个 , 较 2013 年 大 幅 增 
长 53.8% ,被 植 人 后 门 的 网 站 达到 40 186 个 ,其 中 位 于 美国 的 4761 个 IP 地 址 通过 植 和 后 
门 控制 了 我 国境 内 5580 个 网 站 ,侵入 网 站 数量 居 首 位 。 


1.3.2 信息 安全 趋势 和 任务 


2014 年 ,中 共 中 央 网 络 安全 和 信息 化 领导 小 组 成 立 , 由 此 掀起 了 信息 安全 的 热潮 。 在 
已 经 来 临 的 2015 年 ,无论 是 政策 导向 还 是 技术 演进 ,人 们 都 不 得 不 关注 信息 安全 的 发 展 趋 
势 , 明 确 任 务 。 

2014 年 岁 末 , 据 国外 媒体 报道 ,索尼 影 业 遭 到 黑客 攻击 ,公司 办 公 室 内 的 所 有 电脑 均 无 
法 操作 。 索 尼 创建 的 十 多 个 Twitter 营销 账号 似乎 也 遭 到 了 攻击 ,不 停 发 送 内 容 相同 的 消 
息 。 据 称 , 黑 客 们 已 经 从 索尼 影 业 获得 了 大 量 敏 感 文件 ,其 中 一 些 文件 在 打包 压缩 后 被 发 送 
到 了 互联 网 上 。 此 次 攻击 影响 了 索尼 影 业 的 日 常 办 公 。 有 报道 称 , 索 尼 影 业 的 员工 们 无 法 
发 送 电子 邮件 ,无 法 使 用 电脑 ,甚至 无 法 接听 电话 。 一 名 索尼 影 业 的 员工 对 国外 媒体 表示 ， 
他 们 处 于 完全 瘫痪 的 状态 中 …… 

信息 安全 是 永远 的 话题 。 攻 击 对 象 在 变化 ,攻击 方式 在 变化 ,攻击 技术 在 变化 ,唯一 不 
变 的 ,就 是 对 恶意 攻击 的 坚决 抵抗 和 不 妥协 。 

2014 年 2 月 27 日 ,中共 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 召 开 。 中 央 网 络 
安全 和 信息 化 领导 小 组 的 成 立 , 被 认为 是 中 国 开始 高 度 重视 信息 安全 ,希望 在 信息 安全 领域 
有 所 作为 的 标志 性 事件 。 

由 此 ,中 国 的 信息 安全 热潮 被 掀起 。 驻 足 回首 ,人 们 看 到 ,在 已 经 走 过 的 2014 年 ,信息 
安全 市 场 正 在 逐渐 成 长 ; 登高 远 姚 ,人 们 又 会 发 现 , 在 已 经 到 来 的 2015 年 ,信息 安全 领域 将 
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呈现 更 多 的 变化 ,值得 关注 。 

互联 网 正在 改变 世界 。 同 样 , 它 也 在 改变 人 们 对 信息 安全 的 认 知 。 

互联 网 、 移 动 互 联网 、 物 联网 的 不 断 演进 ,颠覆 了 人 们 的 生活 方式 。 然 而 对 于 攻击 者 而 
言 ,万 物 互联 同样 意味 着 可 攻击 的 目标 增多 ,攻击 方法 在 创新 ,“ 攻 击 面 "在 迅速 扩大 ,相对 应 
的 信息 安全 防御 链条 则 越 来 越 长 ,防御 思想 也 在 不 断 进化 ,信息 安全 防御 面临 很 大 的 创新 
压力 。 

1. 各 安全 公司 对 信息 安全 的 现状 分 析 


360 公司 副 总 裁 曲 晓 东 认为 ,从 索尼 影 业 被 攻击 等 近期 频 发 的 一 系列 安全 事件 看 ,现在 
的 安全 威胁 已 经 发 生 了 * 质 ”的 变化 。“ 攻 击 者 不 再 是 某 些 个 体 , 而 是 有 组 织 的 团队 ; 攻击 也 
不 再 是 漫 无 目的 行为 ,而 是 瞄准 了 特定 目标 ; 攻击 也 不 再 是 为 了 炫耀 技术 ,而 是 为 了 潜伏 并 
窃取 有 价值 的 信息 ; 攻击 者 从 利用 已 知 的 工具 和 漏洞 发 展 到 越 来 越 多 地 利用 未 知 工具 、 零 
日 漏洞 甚至 社会 工程 学 等 综合 性 手段 .” 持 类 似 观点 的 ,还 有 山石 网 科 产 品 市 场 总 监 贾 彬 。 
他 表示 , 像 索 尼 这 样 的 大 型 企业 ,一 定 拥有 比较 完备 的 信息 安全 防护 措施 和 手段 ,但 是 仍然 
无 法 避免 被 攻陷 。 这 就 说 明 ,恶意 攻击 正在 升级 ,给 企业 的 安全 防护 带 来 了 更 大 的 挑战 。 

“真正 可 怕 的 是 ， 攻 ?进步 了 ， 防 ? 却 没 有 跟 上 。? 曲 晓 东 说 。 

启明 星 尾 首席 战略 官 潘 柱 廷 告诉 记者 ,木马 、 病 毒 、 钓 鱼 等 常见 的 攻击 方式 仍然 有 效 ,而 
诸如 DDoS 等 蔓延 式 的 攻击 也 很 难 防范 ,伴随 网 络 带宽 的 进一步 增加 ,2015 年 甚至 可 能 会 
出 现 1TB 流量 的 DDoS 攻击 。 更 为 重要 的 是 ,APT 攻击 呈现 出 泛 化 的 趋势 ,出 于 商业 竞争 
的 目的 , 它 将 更 多 地 出 现在 企业 之 间 。 

不 可 否认 ,无 论 是 防 病毒 还 是 防 攻击 ,无论 是 已 知 威胁 检测 还 是 未 知 威胁 检测 ,安全 似 
乎 一 直 处 于 后 知 后 觉 的 状态 一 一 发 现 威胁 ,分 析 威 胁 、 形 成 具体 的 或 通用 的 特征 规则 ,然后 
才能 对 这 个 威胁 进行 防御 。 所 以 ,在 面 对 复杂 、 未 知 、 定 向 攻击 等 高 等 级 安全 威胁 时 ,传统 安 
全 的 防护 方式 频频 失手 , 缓 不 救急 。 

曲 晓 东 认为 ,以 前 的 信息 安全 重点 强调 的 是 边界 安全 ,在 网 络 的 边界 上 设 一 些 网 关 类 的 
安全 产品 , 像 防 火 墙 .IPS\IDS 等 。 通 过 这 些 人 为 设置 的 * 墙 ?把 攻击 挡 在 企业 网 络 的 外 围 ， 
让 它 无 法 进入 企业 内 部 。 然 而 随 着 互联 网 的 发 展 , 企 业 要 想 设置 并 充分 利用 这 堵 " 墙 ? 越 来 
越 困 难 。 

员工 的 手机 ,平板 电脑 等 个 人 终端 设备 在 办 公 时 可 以 连接 到 企业 的 网 络 , 到 机 场 就 可 以 
连接 到 机 场 的 网 络 ,如果 这 台 终 端 在 公共 网 络 中 感染 了 病毒 和 木马 ,再 回 到 企业 内 网 时 , 病 
毒 和 木马 的 攻击 就 有 可 能 不 经 过 企业 边界 的 安全 设备 而 进入 企业 内 网 。 

其 实 ,万 物 互 联 远 不 止 智 能 手机 可 以 随时 随地 接 人 网 络 这 样 简单 。 大 量 可 联网 智能 设 
备 的 涌现 ,以 及 原先 封闭 的 ,与 互联 网 物理 隔离 的 工业 控制 系统 逐渐 采用 通用 协议 接 人 互联 
网 ,都 存在 着 巨大 的 安全 风险 。 

“我 们 把 这 种 现象 叫 “ 边 界 模糊 "或 者 “边界 消失 ” ,这 对 传统 的 企业 安全 提出 了 严峻 的 挑 
战 。 如 果 企 业 的 边界 模糊 了 或 者 边界 消失 了 ,那么 部 署 在 企业 网 络 边 界 的 “ 墙 ' 就 形 同 虚 
设 .” 曲 晓 东 说 。 

潘 柱 廷 指出 ,如 何 保障 工业 控制 系统 安全 对 用 户 和 厂商 都 是 个 挑战 。 对 于 安全 厂商 而 
,由 于 工业 控制 系统 的 封闭 和 不 通用 ,使 防护 方案 的 研发 成 本 极 高 。 而 且 , 工 业 控 制 系统 
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很 容易 成 为 高 级 威胁 的 攻击 目标 ,因为 它 一 旦 出 现 安全 问题 ,将 有 可 能 酿 成 严重 的 事故 。 

“ 毫 无 疑问 ,高 级 威胁 将 成 为 未 来 安全 事件 的 主流 。" 曲 晓 东 判断 。 

道 高 一 尺 , 魔 高 一 丈 。 在 信息 安全 的 攻防 大 战 中 ,双方 此 消 彼 长 的 较量 从 来 没有 停止 。 
如 果 安 全 威胁 真 的 发 生 了 质变 ,那么 安全 防御 体系 应 该 如 何 应 变 呢 ? 

潘 柱 廷 给 出 的 答案 是 大 数据 .“ 哪 个 安全 厂商 率先 掌握 了 大 数据 技术 ,哪个 厂商 就 掌握 
了 技术 不 对 称 的 优势 .? 潘 柱 廷 告诉 记者 ,在 攻防 类 安全 实践 中 ,核心 任务 就 是 威胁 检测 。 防 
护 一 方 的 首要 工作 就 是 检测 出 威胁 ,只 有 将 威胁 及 时 、 顺 利 地 检测 出 来 ,才能 让 后 续 的 防御 
工作 有 效 进 行 。 如 果 能 够 在 企业 网 络 中 尽 可 能 多 地 采集 数据 ,把 更 多 的 异常 数据 纳入 检测 
范围 ,并 通过 大 数据 技术 进行 分 析 ,无疑 会 大 大 增加 威胁 检测 的 成 功率 。 

当然 ,应 用 大 数据 技术 完美 实现 威胁 检测 可 以 说 是 一 个 美好 的 愿景 。 但 是 , 它 需 要 解决 
的 新 问题 就 是 如 何 把 在 企业 网 络 中 采集 到 的 海量 的 、 多 维 数据 进行 有 效 分 析 , 从 而 提取 有 价 
值 的 信息 。 近 年 来 ,山石 网 科 一 直 在 强调 智能 安全 的 理念 。 在 记者 看 来 ,所 谓 智 能 ,必然 要 
和 大 数据 技术 紧密 联系 在 一 起 ,以 有 效 的 大 数据 分 析 作 为 基础 ,才能 实现 真正 的 智能 。 

贾 彬 介绍 ,相对 于 基于 特征 匹配 的 传统 威胁 检测 方式 ,新 的 智能 安全 应 该 是 基于 网 络 行 
为 分 析 的 。 这 是 因为 ,攻击 者 会 采取 不 同 的 攻击 方式 .不 同 的 工具 \ 不 同 的 木马 变种 ,特别 是 
一 些 高 等 级 的 攻击 者 会 针对 攻击 目标 定制 开发 攻击 工具 ,让 攻击 过 程 变 得 更 加 隐藏 ,难以 察 
觉 。 然 而 ,任何 一 个 网 络 攻 击 都 会 具有 扫描 、 植 入 、 传 输 等 相对 固定 的 攻击 行为 。 对 企业 而 
言 ,如 果 防 护 系统 能 够 对 企业 的 正常 业务 行为 进行 学 习 , 从 而 在 日 常 监控 中 发 现 与 正常 业务 
行为 不 匹配 的 异常 行为 ,就 能 更 加 高 效 地 发 现 威胁 。 

曲 晓 东 则 强调 , 面 对 如 今 的 IT 环境 ,单纯 依靠 封 堵 的 方法 已 经 很 难 抵御 网 络 攻 击 。 除 
了 大 数据 技术 之 外 ,为 了 应 对 企业 边界 模糊 或 边界 消失 带 来 的 安全 挑战 ,需要 采用 “ 云 十 端 
十 边界 联动 ”的 立体 化 解决 方案 ,只 有 * 云 十 端 十 边界 联动 ”的 综合 立体 防御 体系 才能 帮助 企 
业 灵 活 、 快 速 , 最 大 限度 地 减少 来 自 高 级 安全 威胁 的 影响 和 损失 。 


2. 安全 协作 是 大 势 所 趋 


“现在 ,为 了 利益 最 大 化 ,攻击 方 都 能 够 联合 起 来 。 那 么 ,作为 保护 企业 信息 安全 的 中 坚 
力量 ,安全 厂商 为 什么 不 能 联合 起 来 呢 ?” 潘 柱 廷 发 出 呼吁 。 

事实 上 , 面 对 升级 的 安全 威胁 ,除了 创新 的 安全 防御 技术 和 策略 ,还 有 重要 的 一 点 就 是 
协作 。 通 常 ,为 了 保证 对 技术 的 足够 投入 和 专业 性 ,安全 厂商 往往 只 专注 于 信息 安全 的 某 一 
个 或 某 几 个 领域 ,而 且 往往 专注 的 安全 厂商 也 更 容易 获得 用 户 的 信赖 。 但 是 ,信息 安全 防御 
的 链条 越 来 越 长 ,已 经 鲜 有 厂商 能 够 提供 覆盖 全 链条 的 安全 防御 解决 方案 ,这 时 ,安全 协作 
就 显得 更 加 重要 。 

“在 美国 ,安全 厂商 之 间 的 协作 司空 见 惯 ,一 家 很 小 的 厂商 都 可 以 共享 到 大 厂商 的 安全 
数据 。? 潘 柱 廷 表示 ,厂商 协作 首先 要 落地 的 是 安全 数据 的 共享 。 目 前 ,启明 星辰 ”已 经 开始 
和 国内 其 他 知名 安全 厂商 进行 安全 数据 共享 ,这 对 研究 攻击 行为 ,保障 企业 信息 安全 具有 重 
要 的 意义 。“ 此 外 ,针对 DDoS 这 样 的 攻击 ,人 们 也 在 呼吁 成 立 “ 反 DDoS’ 联 盟 。 因 为 这 种 
攻击 从 用 户 的 角度 很 难 防御 ,如 果 通 过 某 种 联盟 的 形式 ,可 以 从 攻击 发 起 端 进行 限制 ,将 很 
大 程度 上 改善 目前 对 抗 DDoS 攻击 的 局 面 .” 潘 柱 廷 说 。 

“在 国内 信息 安全 产业 链条 中 ,大 厂商 之 间 的 合作 较 少 ,同时 充满 了 低 水 平 、 同 质 化 的 竞 
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争 ,从 而 形成 利润 率 低 、 技 术 水 平 低 的 恶性 循环 。360 公司 进入 企业 信息 安全 领域 ,给 产业 
带 来 了 新 技术 、 充 裕 的 资金 .开发 用 户 体验 更 好 产品 的 能 力 .” 曲 晓 东 认为 ,360 公司 进入 企 
业 信 息 安 全 市 场 后 ,与 其 他 安全 厂商 进行 了 一 系列 合作 和 整合 ,给 整个 产业 带 来 了 新 的 机 
遇 , 也 造成 了 锥 鱼 效应 。 

显然 ,在 信息 安全 产业 中 ,政策 和 合 规 性 是 比较 强 的 驱动 力 。 


3. 我 国信 息 安 全 厂商 正在 解决 的 问题 


在 过 去 的 2014 年 ,中 共 中 央 网 络 安全 和 信息 化 领导 小 组 成 立 . 首 届 世 界 互联 网 大 会 召 
开 , 首 届 国 家 网 络 安全 宣传 周 启动 。 一 系列 事件 让 中 国 的 企业 和 个 人 用 户 深 切 感到 了 信息 
安全 的 重要 性 ,安全 意识 得 到 提升 。 信 息 安 全 已 经 深入 到 国家 治理 ,企业 经 营 和 百姓 的 日 常 
生活 中 ,并 且 与 国家 安全 息息相关 。 在 信息 安全 和 自主 可 控 的 呼声 下 ,本 土 安全 厂商 正在 迎 
来 巨大 的 发 展 机 遇 ,并 苗 壮 成 长 。 

工业 和 信息 化 部 中 国电 子 信息 产业 发 展 研究 院 信 息 安全 研究 所 所 长 刘 权 告 诉 记者 , 据 
他 们 统计 ,中 国 整体 安全 产业 规模 在 2014 年 达到 了 550 亿 元 左右 ,同比 增长 约 26%。 

贾 彬 介绍 ,2014 年 山石 网 科 在 很 多 方面 取得 了 重大 突破 。“ 随 着 用 户 信息 安全 意识 的 
提升 和 对 信息 安全 认 知 的 成 熟 ,他 们 在 采购 信息 安全 产品 的 时 候 从 看 重 性 价 比 逐 渐 过 滤 到 
更 加 看 重 产品 的 品质 。 这 就 给 山石 网 科 带 来 了 更 多 的 市 场 机 会 .页 彬 告诉 记者 ,山石 网 科 
已 经 成 为 金融 等 行业 用 户 在 信息 安全 领域 蔡 换 国外 产品 的 首要 选择 之 一 。 同 时 他 预计 ,在 
2015 年 ,山石 网 科 在 政府 、 金 融 等 领域 的 业绩 还 将 有 大 幅 增 长 ,甚至 会 翻番 。 就 在 记者 截稿 
时 ,中 国电 信 2014 年 IP 网 络 安全 设备 集 采 结果 全 部 出 炉 , 山 石 网 科 凭 借 防火 墙 \ 防 病毒 、 内 
容 过 滤 等 功能 ,以 及 高 性 能 、 高 可 靠 等 特性 ,成 功 中 标 该 集 采 防 火 墙 标 段 的 全 部 四 个 标 。 

360 公司 的 成 绩 则 更 加 有 目 共 上 暑 。“360 漏洞 实验 室 被 誉 为 东 半 球 最 强大 的 白 帽 子 军 
团 。 目 前 ,360 已 经 成 为 全 世界 报告 软件 漏洞 数量 最 多 的 安全 软件 公司 之 一 ,在 这 方面 超过 
很 多 国外 知名 安全 厂商 。 从 2009 年 到 2014 年 ,360 公司 共 63 次 因 挖 掘 并 协助 修复 漏洞 获 
得 微软 官方 公开 致谢 ,漏洞 挖掘 与 专业 防护 技术 在 世界 居于 领先 地 位 .” 曲 晓 东 说 。 

可 以 说 ,360 公司 把 互联 网 公司 的 产品 设计 理念 和 创新 方式 带 入 了 信息 安全 领域 。 他 
们 对 国外 新 兴安 全 厂商 Splunk、FireEye、Bit9 等 进行 了 跟踪 和 深入 研究 ,进行 了 安全 技术 
和 安全 产品 的 创新 。 曲 晓 东 介 绍 ,“360 天 眼 ” 目 前 已 经 是 一 款 非常 成 熟 的 产品 , 它 是 360 公 
司 针对 企业 用 户 推 出 的 带 有 大 数据 功能 的 边界 安全 产品 ,可 以 提供 全 面 的 定向 攻击 、APT 
攻击 检测 与 分 析 方 案 , 专 注 于 高 级 威胁 的 发 现 ,能 够 对 各 种 已 知 和 未 知 威胁 进行 不 同 维度 、 
不 同 攻击 阶段 ,不 同 攻击 技术 的 立体 化 检测 ,并 且 利 用 大 数据 威胁 情报 及 可 视 化 分 析 等 多 
种 先进 技术 ,回溯 攻击 过 程 、 分 析 攻 击 技术 和 其 影响 范围 .确定 攻击 目的 。 曲 晓 东 认 为 “360 
天 眼 ? 是 解决 当前 企业 面临 的 主流 安全 威胁 的 卓有成效 的 安全 工具 。 

“基于 “ 云 十 端 十 边界 ”的 企业 安全 立体 防护 理念 ,我 们 还 推出 了 针对 桌面 端 和 移动 端的 
安全 产品 “360 天 擎 "和 “360 天 机 ”, 它 们 成 为 优秀 的 企业 终端 管控 系统 ,在 政府 、 电 力 、 航 空 、 
能 源 , 金 融 等 领域 均 已 经 有 用 户 在 使 用 ,” 曲 晓 东 说 。 

就 在 中 共 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 召 开 的 两 周 之 前 ,美国 政府 发 布 
了 由 美国 国家 标准 技术 研究 所 (NIST) 制 定 的 (关键 基础 设施 网 络 安全 框架 》。 这 是 棱镜 门 
事件 后 ,美国 政府 首次 出 台 国家 级 信息 安全 指导 规范 ,也 是 奥巴马 政府 2013 年 启动 保护 关 


全 


MA 


10 


信息 安全 原理 与 应 用 技术 


键 基础 设施 信息 安全 战略 以 来 的 第 一 个 基础 性 框架 文件 。 

政策 是 信息 安全 产业 绕 不 开 的 话题 ,因为 信息 安全 不 仅 是 技术 问题 ,更 是 产业 问题 。 在 
中 国信 息 安 全 产业 蓬勃 发 展 之 际 , 人 们 应 当 看 到 与 美国 等 科技 和 网 络 安全 强国 的 差距 ,加 快 
步伐 ,这 也 是 我 们 的 任务 。 

“要 应 对 美国 等 西方 国家 的 信息 安全 政策 ,我们 就 应 该 有 更 多 的 动作 ,尽快 制定 相应 的 
政策 ,从 政策 层面 上 达到 攻守 平衡 .? 潘 柱 廷 向 记者 表示 。 

中 共 中 央 网 络 安全 和 信息 化 领导 小 组 的 成 立 给 予 了 信息 安全 最 高 的 组 织 和 机 构 保障 ， 
从 而 有 效 推动 了 信息 安全 的 政策 和 法 治 建设 。 刘 权 向 记者 介绍 ,2014 年 ,中 共 中 央 网 络 安 
全 和 信息 化 领导 小 组 办 公 室 召 开 专题 会 议 讨论 网 络 立法 问题 ,全 国人 大 也 将 《网 络 安全 法 》 
列 人 立法 工作 计划 。2015 年 ,我 国 网 络 安全 法 治 建设 进程 将 显著 加 快 。 他 预测 ,在 网 络 安 
全 立法 方面 ,首先 会 加 快 修订 原 有 法 律 , 例 如 ,在 刑法 修订 中 增加 关于 网 络 恐 怖 主义 的 相关 
规定 ; 修订 互联 网 信息 服务 管理 办 法 ,针对 新 应 用 建立 有 效 的 信息 内 容 管控 手段 。 其 次 , 围 
绕 关 键 信息 基础 设施 保护 . 跨 境 数据 流动 信息 技术 产品 和 服务 供应 链 安全 等 一 系列 重大 问 
题 ,全 国人 大 和 相关 单位 将 开展 更 深入 的 研究 《网 络 安全 法 ;) 将 取得 阶段 性 成 果 。 再 次 ,中 
共 中 央 网 络 安全 和 信息 化 领导 小 组 办 公 室 等 机 构 将 加 快 推进 网 络 安全 审查 等 法 律 制度 
建设 。 

“美国 已 经 建立 了 (经济 间谍 法 》《 计 算 机 欺诈 与 滥用 法 ) 等 法 律 构 成 的 相对 完备 的 反 网 
络 锚 密 法 律 体系 , 相 比 而 言 ,我 国 在 此 领域 的 法 律 建设 还 相对 落后 ,难以 对 类 似 起 诉 形成 反 
制 。 此 外 ,由 于 近 两 年 网 络 安全 形势 飞速 变化 ,新 威胁 层出不穷 ,信息 数据 的 跨 境 流动 移动 
互联 网 时 代 网 络 数 据 和 隐私 保护 、 高 级 可 持续 性 威胁 背景 下 重要 信息 系统 保护 、 政 府 信息 安 
全 管理 ,信息 技术 产品 的 安全 审查 、 网 络 犯 罪 电 子 证 据 取 证 程序 等 方面 都 需要 立法 进行 规 
范 。” 刘 权 告 诉 记者 。 

当然 ,信息 安全 包含 了 信息 系统 安全 、 网 络 基础 设施 安全 、 内 容 安 全 等 诸多 方面 ,在 哪些 
领域 迫切 需要 网 络 安全 年 立法 ,以 及 如 何 通过 立法 加 以 规范 ,仍然 需要 明确 。 


1.3.3 网络 安 全 十 大 趋势 


2015 年 1 月 15 日 ,中 国电 子 信息 产 业 发 展 研究 院 发 布 了 “2015 年 网 络 安 全 十 大 趋势 ”。 
1. 网 络 空间 国际 军备 竞赛 加 剧 


随 着 网 络 安全 威胁 日 益 常 态 化 、 复 杂 化 和 高 级 化 ,各 国 加 快 网 络 空间 军事 力量 建设 ,网 
络 空间 军备 竞赛 加 剧 ,2015 年 这 一 趋势 将 更 为 显著 。 一 是 西方 国家 继续 建立 或 增设 网 络 部 
队 。 美 国 2014 年 (防务 评估 报告 ?首次 明确 网 络 部 队 的 建设 目标 ,俄罗斯 .以色列 .日 本 等 都 
在 扩大 网 络 部 队 规模 。 二 是 各 国 加 强 网 络 武器 和 新 型 网 络 对 抗 技术 研发 。 三 是 各 国 加 强 网 
络 战 演习 。 据 欧盟 网 络 与 信息 安全 委员 会 (ENISA) 报 告 ,各 国 开展 网 络 演习 的 频率 大 幅 提 
高 。 四 是 美国 等 西方 国家 通过 北约 组 织 加 快 构建 网 络 军事 同盟 ,以 实现 集体 防御 。 


2. 发 生 有 组 织 的 大 规模 网 络 攻 击 


黑客 组 织 、 网 络 犯 罪 团 体 , 甚 至 某 些 国家 成 为 网 络 攻 击 的 “新 玩家 ”, 针 对 政府 部 门 ,以 及 
国防 ,金融 ,能 源 、 航 天 、 运 输 等 重要 行业 的 企业 和 机 构 ,实施 大 规模 、 持 续 性 的 网 络 攻 击 行 


动 ,窃取 敏感 信息 数据 、 瘫 痪 或 摧毁 重要 目标 。2015 年 这 种 有 组 织 的 大 规模 网 络 攻击 将 更 
普遍 发 生 。 一 是 美国 更 多 的 网 络 监 控 和 网 络 攻击 行为 将 遭 到 曝光 ,多 个 国家 加 快 发 展 网 络 
攻击 能 力 。 二 是 出 于 政治 目的 的 黑客 行动 主义 将 更 加 泛滥 。 三 是 受 经 济 利益 驱使 ,网 络 犯 
罪 团体 将 针对 有 价值 目标 开展 更 密集 的 网 络 攻击 ,攻击 行为 发 生 频 率 越 来 越 高 。 


3. 移动 互联 网 安全 事件 增加 


移动 互联 网 安全 问题 将 更 加 突出 。 一 是 针对 安 卓 设 备 的 网 络 攻击 持续 增加 。 有 机 构 预 
测 ,2015 年 针对 安 卓 设备 的 恶意 软件 数量 将 是 2014 年 的 2 倍 。 二 是 移动 支付 将 可 能 成 为 
网 络 攻 击 的 新 目标 ,通过 挖掘 系统 漏洞 .制造 网 上 银行 病毒 等 ,网 络 犯 罪 分 子 可 能 获取 金融 
敏感 信息 或 劫持 账户 。 三 是 BYOD( 自 带 移动 设备 ) 的 兴起 将 带 来 更 多 针对 企业 或 机 构 内 部 
网 络 的 攻击 。 


4. 智能 互联 设备 成 为 网 络 攻击 的 新 目标 


智能 互联 设备 给 用 户 带 来 更 丰富 的 体验 ,但 对 黑客 也 具有 无 限 的 诱惑 性 ,黑客 将 可 能 利 
用 这 些 设备 进行 更 复杂 、 更 严重 的 破坏 。 已 有 安全 研究 者 利用 智能 汽车 .医疗 可 穿戴 设备 的 
安全 漏洞 实现 对 设备 的 远程 控制 ,对 设备 使 用 者 的 人 身 安 全 构成 威胁 。2015 年 针对 物 联网 
的 攻击 可 能 成 为 现实 ,攻击 者 可 能 对 家 庭 路 由 器 、 智 能 电视 和 互联 汽车 等 发 起 攻击 ,以 获取 
敏感 信息 数据 ,采取 进一步 破坏 行动 ,但 大 规模 攻击 还 不 会 出 现 。 


5. 工业 控制 系统 的 安全 风险 加 大 


高 级 可 持续 性 攻击 的 目标 正在 从 传统 的 IT 系统 ,转向 石油 天然气. 航空 运输 等 行业 
的 工业 控制 系统 。 近 几 年 大 量 的 实际 案例 中 ,这 种 趋势 越 来 越 明 显 。2015 年 ,工业 控制 系 
统 的 安全 风险 持续 加 大 ,美国 .欧盟 等 都 在 采取 措施 加 强 关键 领域 控制 系统 安全 保护 。 而 在 
我 国 ,80% 的 关键 系统 都 使 用 了 相同 的 控制 系统 ,由 于 依赖 国外 组 件 、 安 全 意识 低 、 持 续 接 入 
互联 网 等 原因 ,更 容易 受到 攻击 。 


6. 发 生 大 规模 信息 泄露 事件 


近年 来 ,全 球 大 规模 数据 泄露 事件 频 发 。2015 年 大 规模 信息 泄露 事件 可 能 再 次 甚至 多 
次 发 生 , 掌 握 大 量 个 人 信息 的 政府 机 构 、 大 型 零售 企业 ,金融 机 构 、 移 动 应 用 服务 提供 商 成 为 
信息 窃取 的 重要 目标 。 


7. 网 络 安全 事件 造成 更 大 损失 


网 络 安全 事件 带 来 的 经 济 损失 越 来 越 严重 。 据 美国 战略 和 国际 问题 研究 中 心 报告 ， 
络 犯罪 每 年 给 全 球 带 来 高 达 4450 亿美 元 的 经 济 损失 。2015 年 , 随 着 网 络 威胁 更 为 复杂 、 高 
级 ,网 络 安全 事件 将 带 来 更 大 损失 。 一 是 针对 关键 信息 基础 设施 的 网 络 攻击 一 旦 成 功 ,将 带 
来 不 可 估量 的 影响 ,能够 导致 化 工厂 爆炸 .火车 碰撞 ,大 面积 停电 等 重大 安全 事故 。 二 是 黑 
客 攻击 手段 和 工具 将 更 为 强大 ,将 可 对 更 为 复杂 的 信息 系统 实施 网 络 攻击 ,从 而 造成 更 大 的 
影响 和 损失 。 三 是 随 着 智能 互联 设备 成 为 网 络 攻击 的 新 目标 ,网 络 安全 事件 将 不 仅 造成 经 
济 损失 ,还 可 能 危害 设备 使 用 者 的 人 身 安全 。 
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8. 网 络 空间 国际 话语 权 的 争夺 更 加 激烈 


2015 年 ,围绕 互联 网 关键 资源 治理 、 网 络 空间 国际 规则 等 问题 ,各 国 在 网 络 空间 国际 话 
语 权 的 争夺 将 更 加 激烈 。 一 是 在 互联 网 关键 资源 治理 上 ,仍然 存在 “国家 主导 ”和 “利益 相关 
方 主导 ”的 治理 模式 之 争 , 国 际 社会 将 积极 推进 互联 网 资源 管理 权 的 变革 ,以 改变 美国 等 少 
数 国家 掌控 互联 网 关键 资源 的 局 面 。 二 是 各 国 对 网 络 空 间 规则 制定 主导 权 的 争夺 将 更 加 激 
烈 。 网 络 空间 尚 缺乏 一 套 完 善 的 网 络 空间 国际 规则 ,以 美国 为 首 的 西方 国家 ,以 及 俄罗斯 和 
中 国 等 都 推出 了 网 络 空间 国际 规则 的 设想 ,但 尚未 形成 共识 。 在 这 样 的 背景 下 , 谁 掌握 了 制 
定 "游戏 规则 ?的 权利 , 谁 就 掌握 了 网 络 空间 话语 权 和 制高点 ,可 以 预见 未 来 的 争夺 将 更 加 
激烈 。 


9. 我 国信 息 安 全 产业 高 速 发 展 


在 一 系列 利好 政策 的 刺激 下 ,2015 年 我 国信 息 安 全 产业 将 高 速 增长 。 一 方面 ,信息 安 
全 等 IT 企业 加 快 并 购 整合 ,针对 网 络 安全 威胁 加 强 技术 研发 ,推出 更 加 智能 的 信息 安全 设 
备 和 服务 。 另 一 方面 , 面 对 愈 演 愈 烈 的 网 络 攻击 和 网 络 犯罪 ,政府 .金融 ,能 源 等 重要 行业 的 
信息 安全 需求 大 幅 增 长 ,带动 市 场 的 快速 发 展 。 预 计 ,2015 年 信息 安全 产业 增长 率 将 达 
到 30%。 


10. 我 国 网 络 安全 立法 取得 新 进展 


2015 年 ,我 国 网 络 安全 法 治 建设 进程 将 显著 加 快 。 一 是 适应 网 络 安全 形势 需要 加 快 修 
订 原 有 法 律 , 例 如 ,在 刑法 修订 中 增加 关于 网 络 恐 怖 主义 的 相关 规定 ; 修订 互联 网 信息 服务 
管理 办 法 ,针对 新 应 用 建立 有 效 的 信息 内 容 管控 手段 。 二 是 围绕 关键 信息 基础 设施 保护 、 跨 
境 数 据 流动 、 信 息 技 术 产品 和 服务 供应 链 安 全 等 一 系列 重大 问题 ,全 国人 大 和 相关 单位 开展 
更 深入 的 研究 《网 络 安全 法 》 取 得 阶段 性 成 果 。 三 是 中 共 中 央 网 络 安全 和 信息 化 领导 小 组 
办 公 室 等 加 快 推进 网 络 安全 审查 等 法 律 制度 建设 。 


人 4 密码 学 在 网 络 信息 安全 中 的 作用 


在 现实 世界 中 ,安全 是 一 个 相当 简单 的 概念 。 例 如 ,房子 门窗 上 要 安装 足够 坚固 的 抗 变 
形 材料 以 阻止 窃贼 的 间 入 ; 安装 报警 器 是 阻止 入 侵 者 破门 而 入 的 进一步 措施 ; 当 有 人 想 从 
他 人 的 银行 账户 上 骗取 钱 款 时 ,出 纳 员 会 要 求 其 出 示 相 关 身 份 证 明 也 是 为 了 保证 存款 安全 ; 
签署 商业 合同 时 ,需要 双方 在 合同 上 签名 以 产生 法 律 效力 也 是 保证 合同 的 实施 安全 。 

在 数字 世界 中 ,安全 以 类 似 的 方式 工作 着 。 机 密 性 就 像 大 门 上 的 锁 , 它 可 以 阻止 非法 者 
闻 入 用 户 的 文件 夹 读 取 用 户 的 敏感 数据 或 盗 取 钱财 。 数 据 完整 性 提供 了 一 种 当 某 些 内 容 被 
修改 时 ,可 以 使 用 户 得 知 的 机 制 , 相 当 于 报警 器 。 这 些 思想 是 密码 技术 在 保护 信息 安全 方面 
所 起 作用 的 具体 体现 。 

密码 是 一 门 古老 的 技术 ,但 自 密码 技术 诞生 直至 第 二 次 世界 大 战 结束 ,对 于 公众 而 言 ， 
密码 技术 始终 处 于 一 种 未 知 的 保密 状态 , 常 与 军事 、 机 要 间谍 等 工作 联系 在 一 起 ,让 人 在 感 
到 神秘 之 余 , 又 有 几 分 睛 惧 。 信 息 技 术 的 迅速 发 展 改 变 了 这 一 切 , 随 着 计算 机 和 通信 技术 的 


迅猛 发 展 , 大 量 的 敏感 信息 常 通过 公共 通信 设施 或 计算 机 网 络 进行 交换 ,特别 是 Internet 的 
广泛 应 用 .电子 商务 和 电子 政务 的 迅速 发 展 , 越 来 越 多 的 个 人 信息 需要 严格 保密 ,如 银行 账 
号 ,个 人 隐私 等 。 正 是 这 种 对 信息 的 机 密 性 和 真实 性 的 需求 ,密码 学 才 逐 渐 揭 去 了 神秘 的 面 
纱 , 走 进 公 众 的 日 常生 活 中 。 

密码 技术 是 实现 网 络 信息 安全 的 核心 技术 ,是 保护 数据 最 重要 的 工具 之 一 。 通 过 加 密 
变换 ,将 可 读 的 文件 变换 成 不 可 理解 的 乱码 ,从 而 起 到 保护 信息 和 数据 的 作用 , 它 直接 支持 
机 密 性 、 完 整 性 和 非 否 认 性 。 

今天 ,在 计算 机 被 广泛 应 用 的 信息 时 代 , 由 于 计算 机 网 络 技 术 的 迅速 发 展 ,大 量 信 息 以 
数字 形式 存放 在 计算 机 系统 里 ,信息 的 传输 则 通过 公共 信道 。 这 些 计算 机 系统 和 公共 信道 
在 不 设防 的 情况 下 是 很 脆弱 的 ,容易 受到 攻击 和 破坏 ,信息 的 失窃 不 容易 被 发 现 , 而 后 果 可 
能 是 极其 严重 的 。 如 何 保护 信息 的 安全 成 为 许多 人 感 兴趣 的 迫切 话题 ,作为 网 络 安全 基础 
理论 之 一 的 密码 学 引起 了 人 们 的 极 大 关注 ,吸引 着 越 来 越 多 的 科技 人 员 投入 到 密码 学 领域 
的 研究 之 中 。 

密码 学 尽管 在 网 络 信息 安全 具有 举足轻重 的 作用 ,但 密码 学 绝 不 是 确保 网 络 信息 安全 
的 唯一 工具 。 它 也 不 能 解决 所 有 的 安全 问题 。 同 时 ,密码 编码 与 密码 分 析 是 一 对 矛 和 盾 的 
关系 ,它们 在 发 展 中 始终 处 于 一 种 动态 的 平衡 状态 。 


习题 


1. 简 述 信息 安全 和 网 络 安全 的 关系 。 

2. 针对 信息 安全 和 网 络 安全 的 主要 攻击 手段 是 什么 ? 
3. 网 络 安全 的 十 大 趋势 都 包括 什么 ? 

4. 手机 使 用 过 程 中 需要 注意 哪些 安全 ? 


古典 密码 是 密码 学 发 展 的 一 个 阶段 ,也 是 近代 密码 学 产生 的 渊源 。 尽 管 古典 密码 比较 
简单 ,用 手工 或 者 简单 机 械 就 可 实现 加 密 、 解 密 过 程 ,但 研究 古典 密码 的 原理 ,有 助 于 理解 、 
构造 和 分 析 近 代 密 码 。 在 计算 机 出 现 前 ,密码 学 由 基于 字符 的 密码 算法 构成 ,主要 是 字符 之 
间 互 相 代替 或 者 是 互相 换 位 ,好 的 密码 算法 是 结合 这 两 种 方法 的 。 虽然 现在 密码 算法 相对 
复杂 ,但 基本 原理 是 一 致 的 。 重 要 的 变化 是 古典 密码 对 字母 进行 变换 ,而 现代 密码 是 对 比特 
流 进行 变换 ,实际 上 这 只 是 字母 表 长 度 上 的 改变 ,从 26 个 元 素 变 为 2 个 元 素 ,加密 的 本 质 与 
古典 密码 是 相同 的 , 即 代替 密码 和 换 位 密码 。 


@.1 密码 学 的 基本 概念 


密码 学 (cryptology) 是 研究 密码 系统 或 通信 安全 的 一 门 科 学 。 它 主要 包括 两 个 分 支 ， 
即 密 码 编码 学 和 密码 分 析 学 。 密 码 编码 学 的 主要 目的 是 寻求 保证 消息 保密 性 或 认证 性 的 方 

。 密 码 分 析 学 的 主要 目的 是 研究 加 密 消 息 的 破译 或 消息 的 伪造 。 

采用 密码 技术 可 以 隐蔽 和 保护 需要 保密 的 消息 ,使 未 授权 者 不 能 提取 信息 。 这 其 中 包 
含 以 下 一 些 基 本 概念 。 

(1) 明文 : 被 隐蔽 的 消息 称 做 明文 (plaintext) 。 

(2) 密 文 : 隐蔽 后 的 消息 称 做 密 文 (ciphertext) 或 密 报 (cryptogramy) 。 

(3) 加 密 : 将 明文 变换 成 密 文 的 过 程 称 做 加 密 (encryption) 。 

(4) 解密 : 由 密 文 恢 复出 原 明文 的 过 程 称 做 解密 (decryption) 。 

(5) 密码 员 : 对 明文 进行 加 密 操 作 的 人 员 称 做 密码 员 或 加 密 员 (cryptographer) 。 

(6) 加 密 算 法 : 密码 员 在 对 明文 进行 加 密 时 ,采用 的 一 组 规则 称 做 加 密 算 法 
(Encryption Algorithm ) 。 

(7) 接收 者 : 传送 消息 的 预定 对 象 称 做 接收 者 (receiver) 。 

(8) 解密 算法 : 接收 者 在 对 密 文 进 行 解 密 时 ,采用 的 一 组 规则 称 做 解密 算法 
(Decryption Algorithm) 。 

(9) 加 密 密 钥 和 解密 密 钥 : 加 密 算法 和 解密 算法 的 操作 通常 是 在 一 组 密 钥 (key) 的 控 
制 下 进行 的 ,分 别称 为 加 密 密 钥 (Encryption Key) 和 解密 密 钥 (Decryption Key) 。 

(10) 密码 体制 分 类 : 根据 密 钥 的 特点 将 密码 体制 分 为 对 称 和 非 对 称 密码 体制 
(Symmetric Cryptosystem and Asymmetric Cryptosystem) 两 种 。 

对 称 密码 体制 又 称 单 钥 Cone-key) 或 私 钥 (Private Key) 或 传统 (classical) 密 码 体制 。 

非 对 称 密码 体制 又 称 双 钥 (two-key) 或 公 钥 (Public Key) 密 码 体制 。 
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在 私 钥 密码 体制 中 ,加密 密 钥 和 解密 密 钥 是 一 样 的 或 者 彼此 之 间 是 容易 相互 确定 的 。 

在 私 钥 密 码 体制 中 , 按 加 密 方式 又 将 私 钥 密码 体制 分 为 流 密码 (Stream Cipher) 和 分 组 
密码 (Block Cipher) 两 种 。 

在 流 密码 中 将 明文 消息 按 字符 逐 位 地 进行 加 密 。 

在 分 组 密码 中 将 明文 消息 分 组 (每 组 含有 多 个 字符 ) , 逐 组 地 进行 加 密 。 

在 公 钥 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 不 同 ,从 一 个 难以 推出 男 一 个 ,可 将 加 密 能 力 
和 解密 能 力 分 开 。 

(11) 截 收 者 : 在 消息 传输 和 处 理 系统 中 ,除了 合法 的 接收 者 外 ,还 有 非 授 权 者 。 他 们 
通过 各 种 办 法 ,如 搭 线 窃 听 . 电 磁 窃 听 \ 声 音 窃听 等 来 窃取 机 密 信息 , 称 其 为 蕉 收 者 
(Ceavesdropper) 。 

(12) 密码 分 析 : 虽然 不 知道 系统 所 用 的 密 钥 ,但 通过 分 析 可 能 从 截获 的 密 文 推断 出 原 
来 的 明文 ,这 一 过 程 称 做 密码 分 析 (cryptanalysis)。 从 事 这 一 工作 的 人 称 做 密码 分 析 员 或 
密码 分 析 者 (cryptanalyst) 。 

(13) 被 动 攻击 : 对 一 个 密码 系统 采取 截获 密 文 进行 分 析 , 这 类 攻击 称 做 被 动 攻击 
(Passive Attack) 。 

(14) 主动 攻击 : 非法 入侵 者 (tamper) 主 动向 系统 窜 扰 ,采用 删除 ,更改 、 增 添 . 重 放 、 伪 造 
等 手段 向 系统 注入 假 消 息 , 以 达到 损人 利己 的 目的 ,这 类 攻击 称 做 主动 攻击 (Active Attack) 。 

(15) Kerckholf 假设 : 通常 假定 密码 分 析 者 或 敌手 知道 所 使 用 的 密码 系统 ,这 个 假设 
称 做 Kerckholf 假设 。 

当然 ,如 果 密 码 分 析 者 或 敌手 不 知道 所 使 用 的 密码 系统 ,那么 破译 密码 是 更 难 的 ,但 不 
应 该 把 密码 系统 的 安全 性 建立 在 敌手 不 知道 所 使 用 的 密码 系统 这 个 前 提 下 。 因 此 ,在 设计 
一 个 密码 系统 时 ,目的 是 在 Kerckholf 假设 下 达到 安全 性 。 

根据 密码 分 析 者 破译 时 已 具备 的 前 提 条 件 , 通 常人 们 将 攻击 类 型 分 为 4 种 : 唯 密 文 攻 
击 (Ciphertext-only Attack)、 已 知 明 文 攻 击 (Known Plaintext Attack)、 选 择 明文 攻击 
(Chosen Plaintext Attack) .选择 密 文 攻击 (Chosen Ciphertext Attack) 。 

QO@ 唯 密 文 攻击 : 密码 分 析 者 有 一 个 或 更 多 的 用 同一 密 钥 加 密 的 密 文 ,通过 对 这 些 截获 
的 密 文 进行 分 析 得 出 明文 或 密 钥 。 

@ 已 知 明 文 攻 击 : 除 待 解 的 密 文 外 ,密码 分 析 者 有 一 些 明 文 和 用 同一 个 密 钥 加 密 这 些 
明文 所 对 应 的 密 文 。 

@ 选择 明文 攻击 : 密码 分 析 者 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 ,这 些 明文 与 
待 解 的 密 文 是 用 同一 密 钥 加 密 得 来 的 。 

@ 选择 密 文 攻击 : 密码 分 析 者 可 得 到 所 需要 的 任何 密 文 所 对 应 的 明文 ,解密 这 些 密 文 
所 使 用 的 密 钥 与 解密 待 解密 文 的 密 钥 是 一 样 的 。 

上 述 4 种 攻击 类 型 的 强度 按 序 递增 ,如 果 一 个 密码 系统 能 抵抗 选择 明文 攻击 ,那么 它 当 
然 能 够 抵抗 唯 密 文 攻击 和 已 知 明文 攻击 。 

在 了 解密 码 学 的 基本 概念 之 后 ,可 以 很 容易 地 理解 通信 保密 系统 ,如 图 2-1 所 示 。 

通信 中 的 参与 者 包括 : 

发 送 者 (Alice) ,在 双方 交互 中 合法 的 信息 发 送 实体 。 

接收 者 (Bob) ,在 双方 交互 中 合法 的 信息 接收 实体 。 

分 析 者 (Eve) ,破坏 通信 接收 和 发 送 双方 正常 安全 通信 的 其 他 实体 。 
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发 送 者 | 明文 m| 加 密 器 | 密 文 <| 公共 | 解密 器 | 明文 m| 接收 者 
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图 2-1 通信 保密 系统 


信道 ,从 一 个 实体 向 另 一 个 实体 传递 信息 的 通路 。 

安全 信道 ,分 析 者 没有 能 力 对 其 上 的 信息 进行 阅读 ,删除 修改 、 添 加 的 信道 。 

公共 信道 ,分 析 者 可 以 任意 对 其 上 的 信息 进行 阅读 ,删除 ,修改 、 添 加 的 信道 。 

分 析 者 的 目的 包括 : 

解读 公共 信道 上 的 密 文 消息 (被 动 ) 。 

确定 密 钥 以 解读 所 有 用 该 密 钥 加 密 的 密 文 消息 (被 动 ) 。 

变更 密 文 消息 以 使 接收 者 (Bob) 认 为 变更 消息 来 自发 送 者 (Alice) (主动 ) 。 

冒充 密 文 消息 发 送 者 (Alice) 与 接收 者 (Bob) 通 信 , 以 使 接收 者 (Bob) 相 信 消 息 来 自 真 


实 的 发 送 者 (Alice) (主动 ) 。 
分 析 者 常 采 用 的 方法 包括 中 断 、 截 获 、 算 改 和 伪造 ,如 图 2-2 所 示 。 
信 源 信 宿 信 源 信 宿 
正常 中 断 
信 源 信 宿 信 源 信 宿 


伪造 
图 2-2 ”分析 者 的 攻击 方式 
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.3 密码 学 的 发 展 历史 


密码 学 的 发 展 历程 大 致 经 历 了 三 个 阶段 : 古代 加 密 方法 、 古 典 密 码 方法 和 近代 密码 
方法 。 

公元 前 5 世纪 , 古 希 腊 斯 巴 达 出 现 原 始 的 密码 器 ,用 一 条 带子 缠绕 在 一 根木 棍 上 , 沿 木 
棍 纵 轴 方 向 写 好 明文 , 解 下 来 的 带子 上 就 只 有 杂乱 无 章 的 密 文字 母 。 解 密 者 只 需 找到 相同 
直径 的 木 棍 , 再 把 带子 缠 上 去 , 沿 木 棍 纵 轴 方 向 即 可 读 出 有 意义 的 明文 。 这 就 是 最 早 的 换 位 
密码 术 。 

公元 前 1 世纪 ,著名 的 恺 撒 (Caesar) 密 码 被 用 于 高 卢 战 争 中 ,这 是 一 种 简单 易 行 的 单字 
母 替代 密码 。 

公元 9 世纪 ,阿拉 伯 的 密码 学 家 阿尔 。 金 迪 , 同 时 还 是 天 文学 家 哲学 家 、 化 学 家 和 音乐 
理论 家 。 他 提出 频 度 分 析 方 法 ,通过 分 析 计 算 密 文字 符 出 现 的 频率 来 破译 密码 。 

公元 16 世纪 中 期 ,意大利 的 数学 家 卡尔 达 诺 (G. Cardano,1501 一 1576) 发 明了 卡尔 达 
诺 漏 格 板 ,覆盖 在 密 文 上 ,可 从 漏 格 中 读 出 明文 ,这 是 较 早 的 一 种 分 置式 密码 。 

公元 16 世纪 晚期 ,英国 的 菲利普 斯 (Philips) 利 用 频 度 分 析 法 成 功 破解 苏格兰 女王 玛丽 
的 密码 信 , 信 中 策划 暗杀 英国 女王 伊丽莎白 ,这 次 解密 将 玛丽 送 上 了 断头台 。 

几乎 在 同一 时 期 ,法 国外 交 官 维 热 纳 尔 提出 著名 的 维 热 纳 尔 方 阵 密 表 和 维 热 纳 尔 密 码 
(Vigenere Cypher) ,这 是 一 种 多 表 加 密 的 替代 密码 ,可 使 阿尔 。 金 过 和 菲利普 斯 的 频 度 分 
析 法 失效 。 

公元 1863 年 ,普鲁士 少校 卡 西 斯 基 (Kasiski) 首次 从 关键 词 的 长 度 着 手 将 它 破 解 。 英 
国 的 查尔斯 。 巴 贝 奇 (Charles Babbage) 通 过 仔细 分 析 编 码 字 母 的 结构 也 将 维 热 纳 尔 密码 
破解 。 

这 是 发 生 在 第 一 次 世界 大 战 时 的 事情 , 它 在 世界 情报 学 历史 上 占有 重要 地 位 , 它 使 得 美 
国 举国 震怒 ,结束 中 立 , 最 终 加 入 对 德 作战 的 行列 。 

第 一 次 世界 大 战 期 间 ,1917 年 1 月 17 日, 英 军 截获 了 一 份 以 德国 最 高 外 交 密 码 0075 
加 密 的 电报 。 这 个 令 人 无 法 想象 的 密码 系统 由 1 万 个 词 和 词组 组 成 ,与 1000 个 数字 码 群 对 
应 。 密 电 来 自 德国 外 交 部 长 阿 瑟 ，。 齐 麦 曼 ,传送 给 德国 驻 华 盛 顿 大 使 约翰 。， 冯 。 贝 伦 打 尔 
夫 , 然 后 继续 传 给 德国 驻 墨 西 哥 大 使 享 尼 希 。 汉 “。 艾 克 哈 尔 特 。 电 文 将 在 那里 解密 ,最 后 要 
交 给 墨西哥 总 统 瓦 律 斯 提 阿 诺 。 加 汉 扎 。 密 件 从 柏林 经 美国 海底 电缆 送 到 了 华盛顿 。 英 军 
在 那里 将 其 截获 并 意识 到 了 它 的 重要 性 。 英 国 密码 破译 专家 开始 全 力 以 赴 进 行 破译 ,然而 ， 
面 对 这 个 未 曾 被 破译 的 新 外 交 密 码 系统 ,专家 们 绞 尽 脑汁 仍 一 筹 莫 展 。 

令 英 国 密码 破译 专家 意 想 不 到 的 机 遇 降 临 了 。 接 到 密 件 的 德国 驻 华盛顿 大 使 约翰 。 
冯 。 贝 伦 休 尔 夫 在 他 的 华盛顿 办 公 室 里 犯 下 了 致命 的 错误 : 他 们 在 将 电报 用 新 的 0075 密 
件 本 译 出 后 , 却 又 用 老 的 密 件 本 将 电报 加 密 后 传送 到 墨西哥 城 。 大 使 没有 意识 到 ,他 已 经 犯 
下 了 一 个 密码 使 用 者 不 能 犯 的 最 思春 .最 可 悲 的 错误 。 

没 过 多 久 ,已 经 破译 了 老 密 码 的 英 方便 从 德国 大 使 的 糊涂 操作 中 获得 了 新 旧 密 码 的 比 
较 版 本 。 英 国 的 解码 人 员 开 始 了 艰苦 的 工作 : 将 密 件 在 旧 密 码 中 译 出 ,用 纸 笔 建 构 模 型 。 
随 着 齐 麦 曼 的 密 件 逐 渐 清 晰 ,电报 内 容 浮现 出 来 ,其 重要 性 令 人 吃惊 。 
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当时 的 情况 是 ,尽管 1915 年 美国 的 远洋 客轮 “ 露 斯 塔 尼 亚 ” 号 被 德军 击 沉 ,但 只 要 德国 
此 后 对 其 潜艇 的 攻击 行动 加 以 限制 ,美国 仍 将 一 直 保 持 中 立 。 章 麦 曼 的 电文 概括 了 德国 要 
在 1917 年 2 月 1 日 重新 开始 无 限制 海战 以 抑制 英国 的 企图 。 为 了 让 美国 无 暇 他 顾 , 齐 麦 曼 
建议 墨西哥 人 侵 美国 ,宣布 得 克 萨 斯 州 . 新 墨西哥 州 和 亚利桑那 州 重新 归 其 所 有 。 德 国 还 要 
墨西哥 说 服 日 本 进攻 美国 ,德国 将 提供 军事 和 资金 援助 。 

英国 海军 部 急于 将 破译 的 情报 通知 美国 ,但 同时 又 不 能 让 德国 知道 其 密码 已 被 破译 。 
于 是 ,英国 的 一 个 特工 成 功 地 渗入 了 墨西哥 电报 局 ,得 到 了 送 往 墨西哥 总 统 的 解 了 密 的 文件 
拷贝 。 这 样 ,秘密 就 可 能 是 由 墨西哥 方 泄露 的 , 它 以 此 为 掩护 将 情报 透露 给 了 美国 。 

美国 愤怒 了 。 每 个 美国 人 都 被 激 翁 了 。 原 先 只 是 东海 岸 的 人 在 关心 战局 的 进展 ,现在 
整个 美国 都 开始 担心 墨西哥 的 举动 。 电 文 破译 后 6 个 星期 ,美国 总 统 伍德 罗 。 威尔逊 宣布 
对 德 宣战 。 此 时 ,站 在 他 背后 的 是 一 个 团结 起 来 的 愤怒 的 国家 。 齐 麦 曼 的 电文 使 整个 美国 
相信 德国 是 国家 的 敌人 。 这 次 破译 由 此 也 被 称 为 密码 学 历史 上 最 伟大 的 密码 破译 。 

1918 年 ,美国 数学 家 吉尔 伯 特 ， 维 那 姆 发 明 一 次 性 便 得 密码 , 它 是 一 种 理论 上 绝对 无 
法 破译 的 加 密 系统 ,被 誉 为 密码 编码 学 的 圣杯 。 但 产生 和 分 发 大 量 随 机 密 钥 的 困难 使 它 的 
实际 应 用 受到 很 大 限制 ,从 另 一 方面 来 说 安全 性 也 更 加 无 法 保证 。 

在 美国 Hebern 发 明 转 轮 密码 机 的 同时 ,欧洲 的 工程 师 们 ,如 荷兰 的 Hugo Koch 德国 
的 Arthur Scherbius 都 独立 地 提出 了 转 轮 机 的 概念 。Arthur Scherbius 于 1919 年 设计 出 了 
历史 上 最 著名 的 密码 机 一 一 德国 的 Enigma 机 ,在 第 二 次 世界 大 战 期 间 ,Enigma 曾 作 为 德 
国 陆 海 、 空 三 军 最 高 级 的 密码 机 ,在 相当 长 的 时 间 内 扮演 着 重要 角色 。Enigma 机 如 图 2-3 
所 示 。 

Enigma 机 看 起 来 是 一 个 装 满 了 复杂 而 精致 的 元 件 
的 盒子 。 不 过 要 是 把 它 打开 来 ,就 可 以 看 到 它 可 以 被 分 
解 成 相当 简单 的 三 个 部 分 : 键盘 .转子 和 显示 器 。 

在 图 2-3 的 Enigma 机 照片 上 ,看 见 水 平面 板 的 下 面 
部 分 就 是 键盘 ,一 共有 26 个 键 , 键 盘 排 列 接近 现在 使 用 
的 计算 机 键盘 。 为 了 使 消息 尽量 短 和 更 难以 破译 ,空格 
和 标点 符号 都 被 省 略 。 实 物 照 片 中 ,键盘 上 方 就 是 显示 
器 , 它 由 标识 了 同样 字母 的 26 个 小 灯 组 成 , 当 键 盘 上 的 
某 个 键 被 按 下 时 , 和 此 字母 被 加 密 后 的 密 文 相对 应 的 小 
灯 就 在 显示 器 上 亮 起 来 。 在 显示 器 的 上 方 是 三 个 转子 ， 
它们 的 主要 部 分 隐藏 在 面板 之 下 。 

键盘 、 转 子 和 显示 器 由 电线 相连 。 完 整 的 转子 及 转 
子 的 分 解 如 图 2-4 所 示 。 转 子 本 身 也 集成 了 6 条 线路 
(在 实物 中 是 26 条 ) ,把 键盘 的 信号 对 应 到 显示 器 不 同 的 
小 灯 上 去 。 在 示意 图 中 可 以 看 到 ,如 果 按 下 a 键 .那么 灯 
B 就 会 亮 , 这 意味 着 a 被 加 密 成 了 B。 同 样 地 看 到 ,b 被 
加 密 成 了 A,c 被 加 密 成 了 D,d 被 加 密 成 了 F,e 被 加 密 成 了 下 ,{ 被 加 密 成 了 C。 于 是 如 果 
在 键盘 上 依次 键入 cafe( 咖 啡 ) ,显示 器 上 就 会 依次 显示 DBCE。 这 是 最 简单 的 加 密 方法 之 
一 :把 每 一 个 字母 都 按 一 一 对 应 的 方法 蔡 换 为 另 一 个 字母 ,这 样 的 加 密 方式 是 “简单 蔡 换 


图 2-3 Enigma 机 
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图 2-4 左 部 是 完整 的 转子 , 右 部 是 转子 的 分 解 


简单 蔡 换 密码 在 历史 上 很 早 就 出 现 了 。 著 名 的 “ 恺 撤 法 ”就 是 一 种 简单 替换 法 , 它 把 每 
个 字母 和 它 在 字母 表 中 后 若干 个 位 置 中 的 那个 字母 相对 应 。 比 如 说 取 后 三 个 位 置 ,那么 字 
母 的 一 一 对 应 就 如 下 所 示 。 

明码 字母 表 : abcdefghijklmnopqrstuvwxyz; 

密码 字母 表 : DEFGHIJKLMNOPQRSTUVWXYZABC 。 
于 是 就 可 以 从 明文 得 到 密 文 。 

《veni,vidi,vici,“ 我 来 ,我 见 ,我 征服 ”是 颂 勒 .已 撒 征 服 本 都 王 法 那 西 斯 后 向 罗马 元 老 
院 宣告 的 名 言 ,) 

明文 : veni,vidi,vici; 

密 文 : YHAL,YLGL,YLFL。 

很 明显 ,这 种 简单 的 方法 只 有 26 种 可 能 性 ,不 足以 实际 应 用 。 一 般 是 规定 一 个 比较 随 
意 的 一 一 对 应 ,比如 

明码 字母 表 : abcdefghijklmnopqrstuvwxyz; 

密码 字母 表 : JQKLZNDOWECPAHRBSMYITUGVXF。 
甚至 可 以 自己 定义 一 个 密码 字母 图 形 而 不 采用 拉丁 字母 。 但 是 用 这 种 方法 所 得 到 的 密 文 还 
是 相当 容易 被 破解 的 。 在 公元 9 世纪 ,阿拉伯 的 密码 破译 专家 就 已 经 娴熟 地 掌握 了 用 统计 
字母 出 现 频率 的 方法 来 击破 简单 蔡 换 密码 。 破 解 的 原理 很 简单 : 在 每 种 拼音 文字 语言 中 ， 
每 个 字母 出 现 的 频率 并 不 相同 ,比如 说 在 英语 中 ,e 出 现 的 次 数 就 要 大 大 高 于 其 他 字母 。 所 
以 如 果 取 得 了 足够 多 的 密 文 ,通过 统计 每 个 字母 出 现 的 频率 ,就 可 以 猜 出 密码 中 的 一 个 字母 
对 应 于 明码 中 哪个 字母 (当然 还 要 通过 揣摩 上 下 文 等 基本 密码 破译 手段 )。 柯 南 * 道 尔 在 他 
著名 的 福尔摩斯 探 案 集 的 《跳舞 的 人 }》 里 详细 叙述 了 福尔摩斯 使 用 频率 统计 法 破译 跳舞 人 形 
密码 的 过 程 。 

所 以 如 果 转 子 的 作用 仅仅 是 把 一 个 字母 换 成 另 一 个 字母 , 那 就 没有 太 大 的 应 用 价值 了 。 
所 谓 的 “转子 ”, 它 会 转动 ! 这 就 是 Enigma 最 重要 的 设计 。 当 键盘 上 的 一 个 键 被 按 下 时 , 相 
应 的 密 文 会 在 显示 器 上 显示 ,然后 转子 的 方向 就 自动 地 转动 一 个 字母 的 位 置 。 
事实 上 Enigma 里 有 三 个 转子 (第 二 次 世界 大 战 后 期 德国 海军 用 的 Enigma 甚至 有 四 个 
转子 ) 。 想 象 一 下 要 用 Enigma 发 送 一 条 消息 。 发 信人 首先 要 调节 三 个 转子 的 方向 ,使 它们 
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处 于 17 576 个 方向 中 的 一 个 (事实 上 转子 的 初始 方向 就 是 密 匙 ,这 是 收发 双方 必须 预先 约 
定好 的 ) ,然后 依次 输入 明文 ,并 把 闪 亮 的 字母 依次 记 下 来 ,然后 就 可 以 把 加 密 后 的 消息 用 如 
电报 的 方式 发 送出 去 。 当 收 信 方 收 到 电文 后 ,使 用 一 台 相 同 的 Enigma, 按 照 原来 的 约定 ,把 
转子 的 方向 调整 到 和 发 信 方 相同 的 初始 方向 上 ,然后 依次 输入 收 到 的 密 文 ,并 把 闪 亮 的 字母 
依次 记 下 来 ,就 得 到 了 明文 。 于 是 加 密 和 解密 的 过 程 就 是 完全 一 样 的 ,这 都 是 反射 器 起 的 作 
用 。 反射 器 如 图 2-5 所 示 。 


图 2-5 安装 在 Enigma 中 的 反射 器 和 三 个 转子 


是 转子 的 初始 方向 决定 了 整个 密 文 的 加 密 方式 。 如 果 通信 当 中 有 敌人 监听 ,他 会 收 
naty 但 是 由 于 不 知道 三 个 转子 的 初始 方向 ,他 就 不 得 不 一 个 个 方向 地 试验 来 找到 
这 个 密 匙 。 问 题 在 于 17 576 era !: 太 大 。 如 果 试 图 破译 密 文 的 人 把 
转子 调整 到 某 一 方向 ,然后 输入 密 文 开 始 的 一 段 , 看 看 输出 是 否 是 有 意义 的 信息 。 如 果 不 
是 , 那 就 再 试 转 子 的 下 一 个 初始 方向 。 a -个 方向 大 约 要 一 分 钟 ,二 十 四 小 时 日 夜 工 
作 , 那 么 在 大 约 两 星期 里 就 可 以 找 记 转子 所 有 可 能 的 初始 方向 。 如 果 对 手 用 许多 台 机 器 同 
时 破译 ,那么 所 需要 的 时 间 就 会 大 大 缩短 。 这 种 保密 程度 是 不 太 足 够 的 。 

当然 还 可 以 再 多 加 转子 ,但 是 看 见 每 加 一 个 转子 初始 方向 的 可 能 性 只 是 乘 以 了 26。 尤 
其 是 ,增加 转子 会 增加 Enigma 的 体积 和 成 本 。 然 而 这 种 加 密 机 器 必须 是 要 便于 携带 的 ( 事 
实 上 它 最 终 的 尺寸 是 34cmX 28cmX 15cm) ,而 不 是 一 个 具有 十 几 个 转子 的 庞然大物 。 在 
Enigma 的 设计 当中 ,机 器 的 三 个 转子 是 可 以 拆 印 下 来 互相 交换 的 ,这 样 一 来 初始 方向 的 可 
能 性 就 变 成 了 原来 的 6 倍 。 假 设 三 个 转子 的 编号 为 1.2、3, 那 么 它们 可 以 被 放 成 123-132- 
213-231-312-321 6 种 不 同 的 位 置 , 当 然 现在 收发 消息 的 双方 除了 要 预先 约定 转子 自身 的 初 
始 方向 ,还 要 约定 好 在 这 6 种 排列 中 使 用 哪 一 种 。 

其 次 ,键盘 和 第 一 转子 之 间 还 设计 了 一 个 连接 板 。 这 块 连接 板 允 许 使 用 者 用 一 根 连 线 
把 某 个 字母 和 另 一 个 字母 连接 起 来 ,这 样 这 个 字母 的 信号 在 进入 转子 之 前 就 会 转变 为 另 一 
个 字母 的 信号 。 这 种 连 线 最 多 可 以 有 6 根 ( 后 期 的 Enigma 具有 更 多 的 连 线 ) ,这 样 就 可 以 
使 6 对 字母 的 信号 互 换 ,其 他 没有 插 上 连 线 的 字母 保持 不 变 。 在 上 面 Enigma 的 实物 图 里 ， 
看 见 这 个 连接 板 处 于 键盘 的 下 方 。 当 然 连接 板 上 的 连 线 状况 也 是 收发 信息 的 双方 需要 预先 
约定 的 。 
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于 是 转子 自身 的 初始 方向 ,转子 之 间 的 相互 位 置 , 以 及 连接 板 连 线 的 状况 就 组 成 了 所 有 
可 能 的 密 匙 ,让 我 们 来 算 一 算 一 共 到 底 有 多 少 种 。 

三 个 转子 不 同 的 方向 组 成 了 26X26X26 二 17 576 种 不 同 的 可 能 性 ; 

三 个 转子 间 不 同 的 相对 位 置 为 6 种 可 能 性 ; 

连接 板 上 两 两 交换 6 对 字母 的 可 能 性 数目 巨大 ,有 100 391 791 500 种 ; 

于 是 一 共有 17 576X6X100 391 791 500 ,大 约 为 108 , 即 一 亿 亿 种 可 能 性 。 

只 要 约定 好 上 面 所 说 的 密 匙 ,收发 双方 利用 Enigma 就 可 以 十 分 容易 地 进行 加 密 和 解 
密 。 但 是 如 果 不 知道 密 匙 ,在 这 巨大 的 可 能 性 面前 ,一 一 尝试 来 试图 找 出 密 钥 是 完全 没有 可 
能 的 。 看见 连 接 板 对 可 能 性 的 增加 贡献 最 大 ,那么 为 什么 要 那么 麻烦 地 设计 转子 之 类 的 东 
西 呢 ? 原因 在 于 连接 板 本 身 其 实 就 是 一 个 简单 蔡 换 密码 系统 ,在 整个 加 密 过 程 中 ,连接 是 固 
定 的 ,所 以 单 使 用 它 是 十 分 容易 用 频率 分 析 法 来 破译 的 。 转 子 系统 虽然 提供 的 可 能 性 不 多 ， 
但 是 在 加 密 过 程 中 它们 不 停 地 转动 ,使 整个 系统 变 成 了 复式 蔡 换 系 统 ,频率 分 析 法 对 它 再 也 
无 能 为 力 , 与 此 同时 ,连接 板 却 使 得 可 能 性 数目 大 大 增加 ,使 得 暴力 破译 法 ( 即 一 个 一 个 尝试 
所 有 可 能 性 的 方法 ) 望 而 却步 。 

第 二 次 世界 大 战 中 ,在 破译 德国 著名 的 Enigma 机 过 程 中 ,原本 是 以 语言 学 家 和 人 文学 
者 为 主 的 解码 团队 中 加 入 了 数学 家 和 科学 家 。 电 脑 之 父 阿兰 ， 图 灵 (Alan Turing) 就 是 在 
这 个 时 候 加 入 解码 队伍 的 ,他 发 明了 一 套 更 高 明 的 解码 方法 ,并 成 功 解密 ,使 德国 的 许多 重 
大 军事 行动 对 盟 军 都 不 成 为 秘密 。 与 此 同时 ,美国 人 破译 了 被 称 为 “ 紫 密 ”的 日 本 * 九 七 式 ” 
密码 机 密码 ,并 成 功 炸 死 了 偷袭 珍珠 港 的 元 凶 一 一 日 本 舰队 总 司令 山本 五 十 六 。 

在 近代 密码 学 历史 上 ,1975 年 1 月 15 日 ,对 计算 机 系统 和 网 络 进行 加 密 的 数据 加 密 标 
准 (Data Encryption Standard,DES) 由 美国 国家 标准 局 颁布 为 国家 标准 ,这 是 密码 术 历 史上 
一 个 具有 里 程 碑 意 义 的 事件 。 

1976 年 ,当时 在 美国 斯 坦 福 大 学 的 迪 菲 (Diffie) 和 赫 尔 曼 (Hellman) 两 人 提出 了 公开 密 
钥 密码 的 新 思想 (论文 New Direction in Cryptography) ,把 密 钥 分 为 加 密 的 公 钥 和 解密 的 
私 钥 ,这 是 密码 学 的 一 场 革命 。 

1977 年 ,美国 的 里 维 斯 特 (Ronald Rivest)、 沙 米尔 (Adi Shamir) 和 阿 德 勒 曼 (Len 
Adleman) 提 出 第 一 个 较 完善 的 公 钥 密码 体制 一 一 RSA 体制 ,这 是 一 种 建立 在 大 数 因子 分 
解 基础 上 的 算法 。 

1985 年 ,英国 牛津 大 学 物理 学 家 戴 维 . 多 伊 奇 (David Deutsch) 提 出 量子 计算 机 的 初步 
设想 ,这 种 计算 机 可 在 30 秒 钟 内 完成 传统 计算 机 要 花 上 100 亿 年 才能 完成 的 大 数 因子 分 
解 ,从 而 破解 RSA 运用 这 个 大 数 产生 公 钥 来 加 密 的 信息 。 同 一 年 ,美国 的 贝 内 特 (Bennet) 
根据 他 关于 量子 密码 术 的 协议 ,在 实验 室 第 一 次 实现 了 量子 密码 加 密 信息 的 通信 。 尽 管 通 
信和 距离 只 有 30 厘米 ,但 它 证 明了 量子 密码 术 的 实用 性 。 


C3 代替 密码 


代 蔡 ,就 是 明文 中 的 字母 由 其 他 字母 .数字 或 符号 所 取代 的 一 种 方法 ,具体 的 代 蔡 方案 
称 为 密 钥 。 代 蔡 分 为 单 表 代替 密码 和 多 表 代 蔡 密 码 。 
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2.3.1 单 表 代替 密码 


公元 前 51 年 初 , 深 冬 。 高 卢 ,上 毕 布 拉 克 德 ( 现 法 国境 内 伯 夫 雷山 ), 恺 撒 的 营 帐 。 深 夜 ， 
罗马 共和 国 高 卢 行 省 长 恺 撤 , 正 在 一 张 羊皮 上 写 着 什么 。 他 的 身影 被 跳动 的 灯火 映 在 帐篷 
上 ,高 大 而 摇 忠 。 他 的 脸 略 显 狭长 ,但 棱角 分 明 ,专注 的 神色 中 透 着 与 生 俱 来 的 自负 。 他 在 
写 他 的 “ 随 记 ”, 也 就 是 后 来 流传 于 世 的 《高 卢 战 记 》。 戎 马 生涯 的 恺 撤 本 没有 余 暇 来 写 什么 
随 记 , 但 是 过 去 的 几 年 中 ,与 他 在 高 卢 的 显赫 战绩 相 比 ,政治 上 的 事态 发 展 可 不 那么 如 意 。 
罗马 执政 官 克 拉 苏 斯 在 同 帕 尔 提 亚 人 (在 今 土库曼 斯 坦 南部 和 伊朗 东北 部 ) 的 作战 中 被 俘 。 
熔化 了 的 台 浪 灌 进 了 他 的 哈 史 …… 这 个 当年 残酷 镇 压 斯 巴 达 克 斯 起 义 的 剑 子 手 ,如 今 与 他 
嗜 如 生命 的 黄金 铸 在 了 一 起 ,这 对 恺 撤 来 说 是 一 件 好 事 ,但 更 是 一 件 坏事 一 一 罗马 “三 巨头 ” 
之 间 的 平衡 被 打破 了 ,活着 的 两 巨头 ,他 和 庞 培 , 不 得 不 面临 决斗 。 恺 撒 从 来 没有 看 得 起 过 
克拉 苏 斯 。 

这 个 只 会 献 媚 的 小 人 死 不 足 惜 ,但 庞 培 绝 不 能 小 看 ,不 然 的 话 , 恺 撤 当 年 也 不 会 把 自己 
的 女儿 尤 丽 娅 嫁 给 庞 培 。 要 知道 , 庞 培 比 恺 撤 还 要 大 8 岁 。 现 在 , 尤 丽 娅 已 经 去 世 , 他 们 之 
间 除 了 你 死 我 活 已 无 任何 瓜葛 。 庞 培 以 罗马 唯一 执政 官 的 优势 地 位 ,正在 元 老 院 里 向 他 发 
动 强大 的 政治 攻势 …… 他 必须 宣传 自己 ,必须 向 元 老 院 陈述 自己 的 功绩 ,但 同时 又 必须 表现 
出 一 种 谦逊 、 客 观 的 态度 ,不 能 带 有 任何 自 吹 自 擂 的 痕迹 。 为 此 ,他 在 这 部 随 记 中 ,处 处 用 第 
三 人 称 称呼 自己 , 通 篇 都 用 异常 平静 ,简洁 的 笔调 叙说 战事 的 经 过 。 

这 时 他 正 写 到 卷 五 ,说 的 是 公元 前 54 年 ,他 的 爱 将 西 塞 罗 突 然 遭 到 维尔 纳 人 的 围攻 , 情 
况 紧急 ,“ 于 是 ,他 以 极 大 的 酬 报 说 服 了 一 个 高 卢 骑 兵 , 送 一 封 信 去 给 西 塞 罗 。 送 去 的 信和 是 用 
希腊 文 写 的 ,免得 它 被 敌人 截 住 后 得 知 我 军 的 计划 ……” 写 到 这 里 ,他 停 了 一 下 , 似 在 考虑 更 
好 的 措 词 。 一 丝 狭 猎 的 微笑 从 他 脸 上 掠 过 ,他 继续 写 了 下 去 …… 时 间 无 情 地 飞驰 ,转眼 就 过 
了 近 2000 年 , 恺 撤 的 《高 卢 战 记 )》 以 其 翔实 的 叙事 清纯 的 文风 ,成 为 研究 罗马 历史 .拉丁 文 
学 和 军事 史 不 可 或 缺 的 学 术 资料 。 

1979 年 ,中 国 商 务 印 书馆 将 《高 卢 战 记 》 译 成 中 文 , 作 为 * 汉 译 世界 学 术 名 著 丛书 ”中 的 
一 种 出 版 , 译 者 任 炳 湘 先 生 打开 这 本 中 文 译本 , 翻 到 第 124 页 ,看 到 了 上 面 引 述 的 那 柱 派 人 
送信 给 西 塞 罗 的 事 。 然 而 ,治学 严谨 的 译 者 在 这 里 发 现 了 问题 ,他 注 道 :“ 言 下 之 意 ,似乎 高 
卢 人 个 个 不 懂 希 腊 语 , 即 令 书 信 被 截 去 ,也 不 会 泄露 自己 的 计划 。 但 在 本 书卷 25 节 中 曾 说 
到 在 厄 尔 维 几 人 和 营 中 发 现 用 希腊 文 写 的 统计 数字 ,又 说 高 卢 人 无 论 公私 文件 都 用 希腊 文书 
写 ,似乎 有 矛盾 。" 对 此 , 译 者 的 推测 是 :“ 也 许 上 面 两 节 指 的 是 高 卢 人 用 希腊 字母 书写 自己 
的 语言 ,这 一 节 所 说 的 是 真正 的 希腊 文 ." 译 者 的 质疑 可 说 是 切中 要 害 , 然 而 译 者 的 推测 却 仍 
让 人 疑云 难 消 。 敌 营 中 就 没有 一 人 认识 真正 的 希腊 文 ? 他 们 就 不 能 去 找 一 个 希腊 人 来 识 这 
封 信 ( 如 果 他 们 截 住 了 这 封 信 的 话 )? 足智多谋 的 恺 撤 会 不 考虑 这 些 明摆着 的 可 能 而 狂 而 走 
险 ? 是 不 是 可 以 有 另外 的 解释 ? 确实 有 另外 一 种 解释 : 如 果 让 一 位 密码 学 家 来 进行 推测 ， 
他 会 毫 不 犹 承 地 认为 , 恺 撤 送 去 的 这 封 信 是 用 密码 写 的 ! 因为 任何 一 本 讲述 密码 学 历史 的 
著作 ,都 会 提 到 恺 撤 对 军事 密码 学 的 贡献 。 恺 撤 在 其 军事 行动 中 使 用 了 密码 ,这 在 密码 学 界 
已 不 是 密码 。 

现在 已 经 无 法 弄 清 恺 撤 密 码 在 当时 有 多 大 的 效果 ,但 是 有 理由 相信 它 是 安全 的 。 因 为 
恺 撤 的 大 部 分 敌人 都 是 目 不 识 丁 的 ,而 其 余 的 则 可 能 将 这 些 消 息 当 作 某 个 未 知 的 外 语 。 即 
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使 有 某 个 敌人 获取 了 已 撤 的 加 密 信息 ,根据 现 有 的 记载 ,当时 也 没有 任何 技术 能 够 解决 这 一 
最 基本 、 最 简单 的 蔡 换 密码 。 现 存 最 早 的 破解 方法 记载 在 公元 9 世纪 阿拉 伯 的 阿尔 。 肯 迪 
有 关 发 现 频 率 分 析 的 著作 中 。 

恺 撤 系统 的 密码 是 自己 选 的 一 个 单词 。 

例如 ,选用 mountain, 写 出 以 下 的 字母 序列 : mountaibcdefghjklpqrsvwxyz。 

就 是 在 正常 字母 序列 中 抽 掉 密码 mountain。 由 于 mountain 中 有 两 个 n, 把 第 二 个 
去 掉 。 

然后 ,把 正常 字母 序列 写 在 这 个 序列 下 面 : 

Mountaibcdefghjklpqrsvwxyz…… 密 文字 母 序 

Abcdefghijklmnopqrstuvwxyz…… 明文 字母 序 

在 加 密 的 时 候 , 用 上 面 那个 序列 里 的 字母 代替 原文 中 的 字母 写成 密 文 。 例 如 ,m 代替 
aso 代替 b。 解 密 时 方向 相反 。 所 以 ,加 密 heishere 的 结果 是 : btcqbkpt。 

恺 撤 密 码 是 单 表 代 蔡 密码 的 经 典 算法 。 设 明文 为 xz、 密 文 为 y、 加 密 变 换 是 e、 解 密 变 换 
是 d。26 个 字母 中 a 用 数字 0 代替、z 用 数字 25 代替 ,不 区 分 大 小 写 ,那么 恺 撤 密 码 可 以 表 
示 为 

加 密 : y=e(x) 一 (z 十 3) mod 26 

解密 : z=d(y) 一 (y 十 26 一 3) mod 26 

例 2-1 明文 为 China, 用 恺 撤 密码 求 密 文 。 

解 : China 中 的 5 个 字母 对 应 的 数字 分 别 为 2.7、8、13、0, 所 以 

y(1)=e(zx)= (zx+3) mod 26 一 (2 十 3) mod 26=5 

y(2)=10 

y(3)=11 

y(4)=16 

y(5)=3 

表示 分 别 对 应 的 字母 , 即 密 文 为 f.k、1、q、d。 

已 撒 密 码 中 ,一 个 字母 加 密 后 对 应 的 是 同一 个 字母 ,如 果 经 常 使 用 ,很 容易 被 破译 ,所 以 
可 以 通过 修改 密 钥 值 来 增加 安全 性 , 即 用 密 钥 来 代替 3 ,使 其 是 一 个 变化 的 密 钥 。 这 种 变 
化 称 为 通用 恺 撤 密 码 。 

加 密 : y==e(z)= 二 (zk) mod 26 

解密 : z=d(y) =(y 十 26 一 k) mod 26 

单 表 代替 密码 的 缺点 是 密 钥 较 小 ,不 能 抵抗 穷尽 搜索 攻击 ,即便 密 钥 值 是 变化 的 ,最 大 
也 只 有 26。 同 时 , 单 表 代替 密码 也 不 能 抵抗 频率 分 析 的 攻击 。 所 谓 频 率 分 析 即 指 根据 英文 
单词 中 字母 出 现 的 频率 来 确定 明文 。 字 母 频率 表 如 表 2-1 所 示 ,频率 图 如 图 2-6 所 示 。 

从 表 2-1 中 可 以 得 出 

高 频 字 母 : E、T.A.ON、I.R.S、H; 

中 频 字 母 : DL、U、C、M; 

低频 字母 : P.F、Y、W、G、B、Y(V?); 

稀 频 字母 : [KK.Q、X、Z。 

如 果 在 大 量 的 密 文 中 ,出 现 某 个 字母 的 次 数 最 多 ,那么 它 的 明文 极 有 可 能 是 字母 EE。 
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A 


表 2-1 字母 频率 表 
字母 概率 字母 概率 字母 概率 字母 概率 

A 0.082 H 0.061 0 0.075 U 0. 028 
B 0.015 I 0. 070 P 0.019 V 0.010 
[时 0.028 J 0.002 Q 0.001 Ww 0.023 
D 0. 043 K 0. 008 R 0. 060 0. 001 
E 0.127 E 0. 040 S 0. 063 营 0.020 
F 0.022 M 0.024 于 0.091 肥 0. 001 
G 0.020 N 0.067 

0.14 

0.12 -1 

0.10 + 

0.08 -| 

0.06 -| 

0.04 -| 

0.02 ] I 

0 


| f T T 下 -于 LE 
abcdef ghijklmnopqr stuvwxyrz 


图 2-6 字母 频率 图 


2.3.2 多 表 代 替 密 码 一 一 Playfair 密码 


Playfair 密码 是 多 表 代 替 密 码 的 经 典 算法 。Playfair 密码 出 现 于 1854 年 ,由 Charles 
Wheatstone 发 明 , 它 将 明文 中 的 双 字 母 组 合作 为 一 个 单元 对 待 ,并 将 这 些 单元 转换 为 密 文 
双 字 母 组 合 。 下 面 介绍 具体 的 加 密 方 法 。 


1. 构造 矩阵 


Playfair 密码 基于 一 个 5X5 字母 矩阵 ,该 矩阵 使 用 一 个 关键 词 ( 密 钥 ) 来 构造 ,其 构造 
方法 是 : 从 左 至 右 , 从 上 至 下 依次 填 入 关键 词 的 字母 (去 除 重复 的 字母 ) ,然后 再 以 字母 表 顺 
序 依 次 填 人 其 他 字母 。 字 母 1 和 J 被 算 为 一 个 字母 ( 即 ] 被 当 作 工 处 理 )。 
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2. 明文 分 组 


将 明文 字符 串 按 两 个 字母 一 组 进行 分 组 ,分 组 之 后 ,如 果 相 邻 两 个 字母 相同 , 则 在 它们 
之 间 插 入 一 个 字符 (事先 约定 的 字母 ,如 Q); 如 果 明 文字 母 数 为 奇数 ,同样 要 在 明文 的 末端 
添加 某 个 事先 约定 的 字母 作为 填充 。 


3. 加 密 方法 


对 每 一 对 明文 字母 Pi 、P 的 加 密 方法 如 下 : 

@ 车 P, 、P: 在 同一 行 , 则 对 应 的 密 文 C1 和 C: 分 别 是 紧 靠 Pi 、P; 右 端的 字母 。 其 中 第 
一 列 被 看 作 最 后 一 列 的 右 方 (解密 时 反 向 ) 。 

@ 车 PP: 在 同一 列 , 则 对 应 的 密 文 C 和 C: 分 别 是 紧 靠 P, 、P; 下 方 的 字母 。 其 中 第 
一 行 看 作 最 后 一 行 的 下 方 (解密 时 反 向 )。 

@ 若 Pi、P; 不 在 同一 行 ,也 不 在 同一 列 , 则 C, 和 Cs 是 由 Pi 和 Ps 确定 的 矩形 的 其 他 两 
角 的 字母 ,并 上 且 Cl 和 Pi、Cs 和 PP; 同行 (解密 时 处 理 方法 相同 )。 

例 2-2 明文 为 very good, 密 钥 为 fivestar, 用 Playfair 密码 求 密 文 。 

解 : (1) 构造 矩阵 。 


abec de f i v es 
下 -有 
Il mno pa sg hkl 
和 和 二 mn nm 0 Bb a 
A i 


(2) 分 组 。 
明文 : very good 

ve ry go do dq 
(3) 加 密 。 
ve: 同行 ,所 以 密 文 为 es; 
ry: 对 角 线 ,所 以 密 文 为 bx; 
go: 对 角 线 ,所 以 密 文 为 hn; 
qo: 同行 ,所 以 密 文 为 mp; 
dq: 对 角 线 , 所 以 密 文 为 Im。 

即 密 文 为 es bx hn mp lm。 

例 2-3 明文 为 information security, 密 钥 为 fivestar, 用 Playfair 密码 求 密 文 。 
解 : (1) 构造 矩阵 。 


a b de f iv es 
人 和 | 
ES 
和 m n o pg 
Vv w XxX y z u Ww x yz 
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(2) 分 组 。 
明文 : in fo rm at io ns ec ur it yq 
ve ry go qo dgq 
(3) 加 密 。 
in: 同 列 , 所 以 密 文 为 aw; 
fo: 对 角 线 ,所 以 密 文 为 vm; 
rm: 对 角 线 ,所 以 密 文 为 to; 
at: 同行 ,所 以 密 文 为 ra; 
io: 对 角 线 ,所 以 密 文 为 vn; 
ns: 对 角 线 ,所 以 密 文 为 qi; 
ec: 对 角 线 ,所 以 密 文 为 sb; 
ur: 对 角 线 ,所 以 密 文 为 st; 
it: 对 角 线 ,所 以 密 文 为 fa; 
yq: 对 角 线 ,所 以 密 文 为 zp。 
即 密 文 为 aw vm to ra vn qi sb st fa zp。 
例 2-4 密 文 为 very good, 密 钥 为 fivestar, 用 Playfair 密码 求 明文 。 
解 : (1) 构造 矩阵 。 
f 


a b d e i v es 
f kh | a rr be 
1 m nop ss dg hk l 
WE 种 m no pg 
Vv w x yrz u w x yz 


(2) 分 组 。 
密 文 : very good 
ve ry go od 

(3) 解密 。 

ve: 同行 ,所 以 明文 为 iv; 

ry: 对 角 线 ,所 以 明文 为 bx; 

go: 对 角 线 ,所 以 明文 为 hn; 

od: 对 角 线 ,所 以 明文 为 mh。 
即 明 文 为 iv bx hn mh。 

在 解密 时 ,需要 根据 对 单词 的 识别 来 判断 明文 的 真实 含义 ,如 果 解 密 的 明文 里 含有 预先 
约定 的 字母 Q(q) ,需要 人 工 去 判断 是 否 为 真实 的 明文 ,这 也 是 Playfair 密码 的 缺点 之 一 。 


2.3.3 多 表 代 替 密码 一 一 Vigenere 密码 


Vigenere 密码 是 由 法 国 密码 学 家 Blaise de Vigenere 于 1858 年 提出 的 一 种 密码 , 它 是 
一 种 以 移 位 代 换 为 基础 的 周期 代 换 密码 。 
设 m 是 一 个 整数 。 定 义 P= 二 C=K=(2Zws)”"。 对 任意 的 密 钥 K(k ,如 ,An) ,定义 
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Tm) = (Zi 十 Ai zz 十 AZzn 十 oo) mod 26 


AC JE 


k,) mod 26 


加 密 的 实质 如 表 2-2 所 示 , 可 以 将 行 或 列 的 其 中 一 个 作为 明文 , 男 一 个 作为 密 钥 ,通过 
查询 表 就 能 得 到 相应 的 密 文 。 其 实 Vigenere 密码 和 通用 恺 撤 密 码 的 原理 是 一 样 的 ,只 不 过 
密 钥 不 是 单一 的 字母 ,而 是 一 个 字符 串 ,如果 明文 字母 个 数 大 于 密 钥 字母 个 数 , 则 密 钥 需 


里 


复 使 用 。 


表 2-2 Vigenere 密码 表 


NIN<AMAOANEOTIT- MHIEZOmGrRNncO>PEX” 
~~N<AMAO0OANEOTITI- MH2EZOmGmMmnco >Ex 
“Ix~"N<AMAO0ANrFOT- M22EZOmrGmnWFctoO>P 
ElExX~N<AOANEOT- MAEZOmGmRNWbeO> 
> >EPEx~N<A0ANEVOT- MHS3ZOoOnrGQGmMNWnFcD 
Do>BPExX~N<AMAOANEFOoOTITI- MH2EZOoOmrGmnec 
EicED>PExX~"N<AOANELVOT- MIF2EZOmrGmn 
winct o>PExX~N<AOANEVOTITI- MJH2EZOoOmrog 
mlmnco>PExX~N<AOANELOoOT- MJH2EZon0 
olGmnebeD> 和 Ew NZODONNE 人 OPT JEZOn 
mlaogGmnco>PEXm"N<AO0ANEOTI-- MJEZO 
©OlomoGmnco>PExX~N<AOANEOOTI-- LTEZ 
zlzomgoGmnaco>PExX~"N<AO0OANEVOT-- MHZE 
lszomroGmnco>PExX~NI<AU0ANEOT- MJ 
i221SzZzoOoOmGmnFcFcOoO>PEX~"N<AOANEOTITI-— ou 
MI-JS3ZzoOomrogGmnco>PEX~"NIAOANELEOTIT-- 
mi FE2EZOmGMNnCcO>PEX~N<AOANEOTI- 
"I~-- %J2J23ZoOomr0GmMmnco>ExX~N<AMAO0OANEOTI 
Ei- JI2ZoOomrQGmMmnFcoO>PEXm"N<AMAOANEO 
SOI- MHI2EZOurGmMNcO>PEX~N<AOAME 
EOIT- MJI2ZOoOmrGmMmNnFcFoO>PPEX~"N<AMOAN 
国 | oOTIT~-~ MIE2EZOmrGmncoO>PExX~N<AMAOA 
AlANrmoOTrI-- MHZOmrGmnNnFFoO>PPEwXwm~NMAD 
OloOANmOoOT- MHI2EZOmrQGmMmnNncOoO>PExXm~N<a 
AlMmoOANrFOoOI- M2EZOmGmNnFOoO >ExX~NZ 
<|<aoAmnror~-~ MISEZOnrGmNncOoO>BPExX”~N 

<AO0AREmUONT- -MJ EZormromneo>> XN 


GOOGLE. 明 文 串 : BUYYOUTUBE, 用 Vigenere 密码 求 密 文 。 


解 : 密 钥 GOOGLE 对 应 的 数字 分 别 为 6.14、14、6、11、4。 


6,K= 


设 m= 二 


例 2-5 


明文 BUYYOUTUBE 对 应 的 数字 分 别 为 1、20、24、24、14、20、19、20、1、4。 


根据 加 密 公式 得 


Tm 十 k,) mod 26 


Tm)= (Zi 二 Ri ,Tz 二 Rk," 
(1 十 6,20 十 14,24 十 14,24 十 6,14 十 11,20 十 4,19 十 6， 


ER(ZI9T2 9 


20 十 14,1 十 14,4 十 6) mod 26 
(7,8,12,4,.25,24,25,8,15,10) 
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对 应 的 字母 分 别 为 HIM\E.Z\ 了 .ZIPK, 即 密 文 为 HIMEZYZIPK。 

通过 查 表 2-2 也 能 得 到 相同 的 答案 。 

在 多 表 代 蔡 密 码 下 ,原来 明文 中 的 统计 特性 通过 多 个 表 的 平均 作用 而 被 隐蔽 了 起 来 。 
多 表 代 换 密码 的 破译 要 上 比 单 表 代替 密码 的 破译 难得 多 。 但 由 于 其 还 是 相对 简单 ,可 以 通过 
分 析 密 文中 字母 重复 的 情况 来 确定 多 表 代替 密码 的 准确 周期 , 即 密 钥 字母 的 个 数 ,再 通过 频 
率 分 析 法 来 破译 。 

例如 密 钥 : dog, 明 文 : to be or not to be, 用 Vigenere 密码 加 密 的 密 文 为 


明文 t o b e o n o t t o b e 
密 钥 d oO g d oO g d oO g d oO g d 
密 文 w ce h h c 本 q c 了 w c h h 


在 密 文中 字符 串 wchh 重复 了 两 次 ,其 间 为 9 个 字符 。 这 个 距离 是 密 钥 长 度 的 倍数 ,可 
能 的 密 钥 长 度 是 1,3,9。 判 定 了 长 度 之 后 就 可 以 用 频率 分 析 法 来 破译 单 表 代替 密码 了 。 多 
表 代替 密码 的 破解 原因 主要 是 密 钥 的 长 度 太 短 。 


2.3.4 多 表 代 替 密码 一 一 Vernam 密码 


美国 电话 电报 公司 的 Gilbert Vernam 在 1917 年 为 电报 通信 设计 了 一 种 简单 方便 的 密 
码 , 即 Vernam 密码 。 
加 密 原 理 是 将 明文 和 密 钥 分 别 变换 为 二 进 制 字符 流 , 然 后 将 明文 流 和 密 文 流 对 位 进行 
异 或 处 理 得 到 密 文 。 
例 2-6 明文 P==01100001 , 密 钥 KK 二 01001110, 用 Vernam 密码 求 密 文 。 
解 : 密 文 C= 二 POK, 即 
01100001 
由 01001110 
00101111 
密 文 为 00101111。 
解密 Vernam 密码 用 公式 P 二 CDK 即 可 实现 。 


2.3.5 多 表 代替 密码 一 一 Hill 密码 


Hill 体制 是 1929 年 由 Lester S. Hill 发 明 的 , 它 实际 上 就 是 利用 了 人 们 熟知 的 线性 变 
换 方法 ,是 在 Zx 上 进行 的 。Hill 体制 的 基本 思想 是 将 n 个 明文 字母 通过 线性 变换 转化 为 nn 
个 密 文 字母 ,解密 时 只 需 做 一 次 逆 变 换 即 可 , 密 钥 就 是 变换 矩阵 。 
设 明文 m= 二 (mi 十 ms ,… s,m,) E 2% , 密 文 c= 二 (ci ,cs，… ,cs) EZ2%, 密 钥 为 Zw 上 的 nXn 
阶 可 道 方 阵 KK 二 (kj ),x,: 则 
加 密 : 密 文 c = mK mod 26 
解密 : 明文 m = ck! mod 26 
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具体 过 程 如 下 : 

(1) 假设 要 加 密 的 明文 是 由 26 个 字母 组 成 的 。 

(2) 将 每 个 字符 与 0 一 25 的 一 个 数字 一 一 对 应 起 来 。 

(例如 ,a/A 0,b/B 1 ,2/Z 5 

(3) 选择 一 个 加 密 和 矩阵 4,x, ,其 中 矩阵 4 必须 是 可 逆 和 矩阵 ,例如 
(i 


21 13 7 22 15 
(4) 将 明文 字母 分 别 依照 次 序 每 个 一 组 (如 果 最 后 一 组 不 足 个 ,就 将 其 补 成 nn 个 )， 
依照 字符 与 数字 的 对 应 关系 得 到 明文 矩阵 mingiewnx。 
(5) 通过 加 密 矩 阵 4, 利 用 矩阵 乘法 得 到 密 文 矩 阵 miwwx 二 mingiewfnxn X Ax mod 26。 
(6) 将 密 文 矩 阵 的 数字 与 字符 对 应 起 来 ,得 到 密 文 。 
(7) 解密 时 利用 加 密 和 矩阵 的 逆 窍 阵 4 和 密 文 , 可 得 到 明文 。 


例如 : 
7 生 是 . 汤 者 
W238 了 
随机 产生 一 个 5 阶 加 密 方 阵 4=| 1 10 6 9 2 
16 9 23 21 0 


21 13 7 22 15 


23 7 24 18 1 
得 到 方 阵 4 的 逆 和 矩阵 4-:=|12 9 3 20 19 
15 18 23 25 12 
1 
加 密 过 程 如 下 。 
输入 明文 Hill cipher is one of my favorite cipher 
分 组 : Hillc ipher isone ofmyf avori tecip her(aa) 
加 密 得 到 密 文 : SKSXAQERQQYDVDGBKNVSMWZATGIAPDOJBIO 
解密 过 程 如 下 。 
输入 密 文 , SKSXAQERQQYDVDGBKNVSMWZATGIAPDOJBIO 
解密 得 到 密 文 : HILLCIPHERISONEOFMYFAVORITECIPHERAA 


2.3.6 多 表 代 替 密 码 一 一 福尔摩斯 密码 


福尔摩斯 密码 在 很 多 文学 作品 中 都 有 描述 ,这 里 介绍 一 下 亚 瑟 柯 南 道 尔 所 写 的 广 为 流 
传 的 神奇 故事 一 一 《福尔摩斯 探 案 集 之 人 形 密码 》, 大 名 易 鼎 的 福尔摩斯 通过 破解 加 密 体制 ， 
展示 了 他 非凡 的 聪明 才智 。 下 面 是 故事 中 关于 密码 部 分 的 概要 : 

希尔顿 最 近 结 婚 了 ,他 给 福尔摩斯 发 去 了 一 封 信 , 信 中 有 一 张 纸 是 他 在 花园 中 发 现 的 ， 


30 
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这 张 纸 是 用 跳舞 的 棒 形 小 人 所 写 的 : 


久光 关 交大 驱 和 


两 个 星期 后 ,又 发 现 有 人 用 粉笔 在 他 工具 间 的 门 上 写 下 了 另外 一 些小 人 的 信息 : 


上 大 坟 FY 六 


两 天 以 后 ,又 出 现 了 另外 的 信息 : 


式 革 区 淹 六 中 中 入 久 


又 过 了 三 天 , 另 一 幅 小 人 图 出 现 了 : 


史 炎 类 于 


和 希尔顿 将 所 有 这 些小 人 图 拷贝 了 一 份 给 福尔摩斯 ,他 花 了 两 天 时 间 进 行 了 大 量 的 计算 ， 
马上 发 了 一 封 电 报 ,但 两 天 过 去 了 却 没 有 收 到 电报 的 回音 ,随后 收 到 希尔顿 发 来 的 另外 一 


人 
YE YY TY 


第 二 天 , 当 福 尔 摩 斯 到 达 和 希尔顿 家 时 ,发 现 他 已 被 枪杀 ,他 的 麦子 也 受 了 枪 伤 并 且 情 况 
危险 。 福 尔 摩 斯 问 了 几 个 问题 ,并 让 人 给 附近 农场 的 艾 博 送 去 了 一 张 字条 。 随 后 福尔摩斯 
向 警察 解释 了 他 是 如 何 解 密 这 些 信 息 的 : 

首先 ,他 猜测 小 人 手中 的 旗 表 示 单 词 结束 。 


其 次 他 注意 到 最 普通 的 人 是 SE 
而 通常 26 个 英文 字母 中 出 现 频率 最 高 的 字母 是 ,因此 很 可 能 是 下 ,第 4 个 图 表示 -E- 
E- 信 息 ,很 可 能 是 LEVER .NEVER.SEVER 等 含义 ,但 因为 很 可 能 这 是 用 一 个 单词 来 回复 


以 前 的 信息 ,福尔摩斯 猜测 它 是 NEVER。 
再 次 ,福尔摩斯 观察 下 面 的 信息 : 


六 贞 员 这 六 


第 2 章 ”古典 密码 技术 


有 形 如 E---E 的 形式 , 它 很 可 能 是 ELSIE, 第 3 个 信息 就 是 一 EE ELSIE, 福 尔 摩 斯 想 尽 
了 各 种 组 合 ,最 后 得 出 COME ELSIE 是 唯一 一 种 可 能 的 情况 。 因 此 第 一 条 信息 是 -M- 
ERE--E SL-NE-, 福 尔 摩 斯 猜测 第 一 个 字母 是 A, 第 三 个 字母 是 也 ,这 就 表示 信息 AM 
HERE A-ESLANE-, 它 完整 的 内 容 应 该 是 AM HERE ABE SLANEY。 第 二 条 信息 就 是 
A- ELRI-ES, 当然 ,福尔摩斯 很 正确 地 猜 出 这 一 定 表明 艾 博 所 在 的 地 方 , 仅 剩余 的 字母 表明 
的 相当 完整 的 短 句 就 是 AT ELRIGES, 当 最 后 一 封 信 到 来 后 ,解密 出 的 是 ELSIE-RE-ARE 
TO MEET THY GO-, 这 样 他 意识 到 空缺 的 字母 分 别 是 P.P.D, 于 是 他 开始 非常 关注 ,这 也 
就 是 后 来 他 决定 去 找 希尔顿 的 原因 。 

随后 ,福尔摩斯 设 局 引出 凶手 艾 博 。 在 审讯 的 过 程 中 ,他 承认 是 他 开 的 枪 ,并 说 是 希 尔 
顿 妻 子 的 父亲 琼 在 芝加哥 指使 的 ,使 用 的 也 是 他 的 枪 ,但 为 什么 艾 博 又 掉 进 了 福尔摩斯 设 的 
圈套 呢 ? 福尔摩斯 拿 出 他 写 的 字条 : 


区 炎 久 于 开交 基 


从 字母 中 已 经 可 以 推测 出 ,信息 的 含义 是 COME HERE AT ONCE! 


@.4 换 位 密码 


换 位 就 是 重新 排列 消息 中 的 字母 ,以便 打破 密 文 的 结构 特性 , 即 它 交换 的 不 再 是 字符 本 
身 ,而 是 字符 被 书写 的 位 置 。 换 位 分 为 列 换 位 和 周期 换 位 。 


2.4.1 列 换 位 


列 换 位 的 处 理 方法 是 : 将 明文 按照 密 钥 个 数 排列 ,并 按照 密 钥 在 字母 表 中 的 顺序 变换 
列 的 顺序 ,最 后 按照 列 的 顺序 写 出 密 文 。 

例 2-7 明文 为 cryptography is an applied science, 密 钥 是 creny。 

解 : 根据 密 钥 creny 中 各 字母 在 英文 字母 表 中 出 现 的 次 序 可 确定 为 14235。 将 明文 按 
照 密 钥 的 长 度 5 列 逐 行列 出 。 


1 4 2 3 5 
c y p m 
o g 人 a p 
h y i s a 
n a p p 1 
i e d s c 
i e n € e 


然后 依照 密 钥 决定 的 次 序 按 列 依次 读 出 ,因此 密 文 为 
cohnii yripdn paspsc rgyaee tpalce。 


如 果 明 文 不 是 密 钥 的 整数 倍数 ,那么 也 需要 用 其 他 字母 代替 ,但 应 事先 约定 。 
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2.4.2 周期 换 位 


周期 换 位 的 处 理 方法 是 : 将 明文 按照 密 钥 个 数 分 组 ,并 按照 密 钥 在 字母 表 中 的 顺序 变 
换 组 内 字母 的 顺序 ,得 到 密 文 。 

例 2-8 明文 为 can you understand, 密 钥 是 fork, 求 密 文 。 

解 : 根据 密 钥 fork 中 各 字母 在 英文 字母 表 中 出 现 的 次 序 可 确定 为 1342。 将 明文 按照 
密 钥 的 顺序 可 以 得 到 密 文 : 


密 钥 顺序 1342 1342 1342 1342 
分 组 cany ouun ders tand 
密 文 cyan onuu dser tdan 


即 密 文 为 cyanonuudsertdan。 

如 果 明 文 不 是 密 钥 的 整数 倍 , 同 样 需要 事先 约定 用 其 他 字母 代替 。 

在 古典 密码 中 ,无 论 是 换 位 密码 还 是 代替 密码 都 是 相对 简单 的 密码 体制 ,但 其 原理 与 近 
代 密 码 相似 ,为 近代 密码 奠定 了 很 好 的 设计 基础 。 在 密码 体制 设计 过 程 中 ,一 定 要 遵从 
Kerckhoffs 假设 。 

所 谓 Kerckhoffs 假设 即 一 个 密码 系统 的 安全 强度 只 能 依赖 于 密 钥 的 保密 ,而 不 是 加 密 
算法 的 保密 。 如 果 依 赖 于 攻击 者 不 知道 算法 的 内 部 机 理 , 则 注定 会 失败 。 

有 两 点 需要 注意 : 

第 一 ,一 个 加 密 算法 是 无 条 件 安 全 的 ,如 果 算 法 产生 的 密 文 不 能 给 出 唯一 决定 相应 明文 
的 足够 信息 。 此 时 无 论 敌 手 截获 多 少 密 文 .花费 多 少时 间 ,都 不 能 解密 密 文 。 

第 二 ,Shannon 指出 , 仅 当 密 钥 至 少 和 明文 一 样 长 时 ,才能 达到 无 条 件 安全 。 也 就 是 说 
除了 一 次 一 密 方案 外 ,再 无 其 他 加 密 方案 是 无 条 件 安全 的 。 因 此 ,加 密 算 法 只 要 满足 以 下 两 
条 准则 之 一 即 可 : 

(1) 破译 密 文 的 代价 超过 被 加 密 信息 的 价值 。 

(2) 破译 密 文 所 花 的 时 间 超 过 信息 的 有 用 期 。 

满足 以 上 两 个 准则 的 加 密 算法 称 为 计算 上 安全 的 。 

安全 不 是 一 种 可 以 证 明 的 特性 ,只 能 说 在 某 些 已 知 攻 击 下 是 安全 的 ,对 于 将 来 新 的 攻击 
是 否 仍 安全 就 很 难 断言 。 


习题 


1. 单 表 代替 和 多 表 代 替 的 区 别 是 什么 ? 

2. 周期 换 位 和 列 换 位 的 区 别 是 什么 ? 

3. 用 Playfair 密码 加 密 明 文 playfair cipher, 密 钥 是 PLAYFAIR IS A DIGRAM 
CIPHER 。 

4. 用 Vigenere 密码 加 密 明 文 We are discovered save yourself , 密 钥 是 deceptive。 


密码 学 数学 基础 | 


在 现代 密码 体制 中 ,构建 分 析 和 攻击 这 些 密码 体制 都 需要 用 到 数学 理论 ,包括 数论 ,有 
限 域 、 群 论 等 ,其 中 数论 是 应 用 最 广泛 的 数学 理论 。 


@.1 素数 


3.1.1 整除 


定义 3-1 设 有 整数 a 和 5, 且 5 取 0。 如 果 存 在 整数 mm, 使 4 二 m6, 那么 就 说 ,a 能 被 2 整 
除 , 记 为 56la, 称 5 为 a 的 除数 。 
如 3115; 一 15|160, 具 有 以 下 性 质 : 
(1) 如 果 all, 则 a= 士 1; 
(2) 如 果 alb 且 bla, 则 a= 土 6; 
(3) 对 任 一 非 0 整数 5,610,515,16 均 成 立 ; 
(4) 如 果 alb5 且 blc, 则 alc 成立; 
证 明 : 设 6=hk Xa c=k,X6b, 则 c=k Xk, Xa。 
(5) 如 果 blg 且 51h, 则 对 任意 整数 m,n 有 6|(Cmg 十 nh)。 
证 明 : 设 g=bXg: h=bXh 
则 mg 二 nh=mgib+nhb= (mgi+nhi)b 
即 6| Gng+tnh) 


3.1.2 素数 


定义 3-2 ”如 果 正 整数 P>1 只 能 被 1 和 它 本 身 整 除 , 则 该 数 为 素数 (也 叫 质数 )。 

100 以 内 的 素数 有 25 个 ,分 别 是 2、3、5、7、11、13、17、19、23、29、31、37、41、43、47、53、 
59、61、67、71、73、79、83、89 和 97。 

1000 以 内 的 素数 如 表 3-1 所 示 。 


信息 安全 原理 与 应 用 技术 


表 3-1 1000 以 内 的 素数 


2 3 5 区 又 13 17 19 23 29 
31 37 41 43 47 53 59 61 67 71 
73 ?9 83 89 97 101 103 107 109 113 
127 131 137 139 149 151 157 163 167 173 
9 181 191 193 197 199 211 223 227 229 
233 239 241 251 257 263 269 271 277 281 
283 293 307 311 313 317 331 337 347 349 
353 359 367 373 379 383 389 397 401 409 
419 421 431 433 439 443 449 457 461 463 
467 479 487 491 499 503 509 521 523 541 
547 557 563 569 571 577 587 593 599 601 
607 613 617 619 631 641 643 647 653 659 
661 673 677 683 691 701 709 719 727 733 
739 743 751 757 761 769 773 787 797 809 
811 821 823 827 829 839 853 857 859 863 
877 881 883 887 907 911 919 929 937 941 
947 953 967 971 977 983 991 997 


De 1 Xpr (3-1) 
其 中 ,pi 二 ps 三 …… 二 p, 为 素数 ,ai 为 正 整 数 。 
例如 ; 77=7: X11':, 504=2: X3?X7。 
式 (3-1) 也 可 以 表示 为 
辣 ' 一 [Ip® Gas 之 0)。 


p 

即 数 a 是 所 有 素数 的 乘积 。 当 然 , 大 多 的 a, 都 为 0。 这 样 表 述 的 优点 在 于 ,两 个 数 的 乘法 
等 于 对 应 素数 指数 的 加 法 。 

例如 :, 6 二 2X3,18= 二 2X3?, 则 6X18==2? X33。 

对 于 al5, 它 们 的 素数 因子 关系 为 

alb>as 一 b,( 对 每 一 项 的 素数 都 如 此 ) 

素数 在 密码 学 中 具有 重要 的 作用 ,尤其 是 在 非 对 称 密码 体制 中 ,经 常用 到 很 大 的 素数 。 

2008 年 9 月 ,德国 人 发 现 的 素数 为 1300 万 位 的 整数 ,用 5 号 铅字 将 其 印刷 , 它 的 长 度 
将 达到 30 英里 。 


3.1.3 最 大 公约 数 


定义 3-3 a 和 2 的 最 大 公约 数 是 能 够 同时 整除 a 和 4 的 最 大 正 整数 , 记 为 
gcd(a.b), 

例如 : gcd(6,4) 一 2; gcd(3.7) 一 1。 

如 果 gcd(a,0) 王 1 ,那么 就 说 a 和 4 是 互 素 的 。 

下 面 分 析 如 何 求解 两 个 数 的 最 大 公约 数 。 


(1) 对 于 不 是 很 大 的 数 ,利用 素数 来 求解 。 

例如 : 1728 一 25 X33 135 王 33X5, 则 gcd(1728,135) 王 3 一 27。 

(2) 对 于 很 大 的 数 ,将 其 分 解 为 素数 乘积 的 形式 比较 困难 ,可 以 用 欧 几 里 得 算法 求解 。 

gcd(a.b) = gcd(b,.a mod b) (3-2) 

例如 : gcd(12 345,1111) 王 gcd(1111,124) 一 gcd(124,5)=gcd(5,4)= gcd(4,1) 
gcd(1,0) 

到 最 后 的 a mod 5 二 0 为 止 , 则 最 后 的 为 所 求 , 所 以 12345 与 1111 的 最 大 公约 数 为 1， 
即 它们 是 互 素 的 。 


6.2 模 运 算 


定义 3-4 设 整数 o.0 及 nn 隆 0, 若 a 一 6 二 kn(k 为 任 一 整数 ), 则 称 a 在 modn 下 与 5 同 
余 , 记 为 a 三 b mod n。 
例如 : 11 mod 7=4; 4 mod 7 二 4; 则 11 三 4 mod 7。 
模 运 算 有 以 下 性 质 : 
(1) aa mod n。 
(2) 车 a 三 b mod nn, 则 b 寺 a mod n。 
(3) 若 a 三 b mod n 且 5 三 c mod n , 则 a 三 c mod n。 
(4) 车 a 三 6b mod n 且 c 寺 d mod n, 则 a 十 c 圭 (6 十 d) mod nwa 一 c 寺 (6 一 d) mod n,ac 寺 
(bd) mod n。 
(5) (atb) mod n=((a mod 1)+(b mod n)) mod 2， 
(a—b) mod n=((a mod n)—(b mod n)) modn, 
(axXb) modn=((a mod n)X(b modn)) modn, 
(6) 车 ac 三 (bd) mod n,cd mod n 有 gcd(c,n) 二 1, 则 a 三 b mod n。 
(7) 车 gcd(a,n) 二 1, 则 存在 唯一 整数 5,0 二 bn 且 gcd(b,n) 二 1, 使 得 ab 三 1 mod n。 
此 时 a 称 为 在 mod n 下 的 反 元素 ; 0 称 为 a 在 mod n 下 的 反 元素 。 
(8) 车 az 三 1 mod n 有 和 解 , 则 gcd(a.n) 二 1。 
例 3-1 计算 117 mod 13。 
解 : 利用 (aX6b) mod ?一 (Ca mod n)X(bmodn)) mod2 ,得 
117 mod 13= (11 X 11: X 114) mod 13 
一 (11X4X3) mod 13 
一 132 mod 13 
一 2 
例 3-2 证 明 5% 一 1 是 56 的 倍数 。 
该 问题 等 价 于 5” mod 56 一 1。 
证 明 : 5 mod 56 一 13 
5° mod 56 一 13* mod 56 一 1 
5% mod 56 一 1 mod 56 一 1 
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即 5 一 1 是 56 的 倍数 。 


@.3 模 逆 元 


在 密码 学 中 ,经 常用 到 模 道 元 。 

定义 3-5 ” 模 道 元 是 指 寻 找 一 个 最 小 正 整 数 z, 使 at 圭 1 mod n, 这 里 a 和 ?和 皆 为 正 整 
数 , 且 a 与 n 互 素 ,x 称 为 a 的 模 n 道 元 , 记 为 z==a ' mod n。 

如 果 a 与 不 互 素 ,那么 不 存在 zx, 使 at 二 1 mod n。 

模 逆 元 的 计算 可 以 通过 扩展 欧 几 里 得 算法 实现 。 

扩展 欧 几 里 得 算法 可 以 描述 为 

(1) (Xi1, Xs, Xs)—(1,0,.n); (Yi,Y2,Y3)<—(0,1,a), 

(2) 如 果 Y; 二 0, 返 回 X; 二 gcd(a,n); 无 着 元。 

(3) 如 果 YY, = 二 1, 返 回 Y; 二 gcd(a,n); Ya mod n。 

(4) Q=LXs/Y: k 即 除数 ,并 往 下 取 整 ) 。 

(5) (Th ,T ,Ta)< 一 XI 一 QY,X: 一 Qy ,X: 一 QY: ) 。 

(6) (Xi，X2，Xs)< (Yi yz,Yys)。 

《72 YY 一 《T1 TvT) 

(8) 返回 第 (2) 步 。 

如 果 有 逆 元 ,Y; 为 逆 元 ,Y= 二 gcd(a,n) 是 a 入 的 最 大 公约 数 。 

例 3-3 用 扩展 欧 几 里 得 算法 求 gcd(7,26) 和 7-: mod 26。 


解 : 
0 xX! X, XX, Y YY; YY; 
1 0 26 0 1 7 
3 0 1 7 1 一 8 5 
1 一 3 5 二 4 2 
2 一 上 4 2 3 = 1 


所 以 gcd(7,26) 王 1,7-: mod 26 二 一 11 mod 26 一 15。 
[3.4 费 马 欧 拉 定理 


3.4.1 费 马 定理 


定理 3-2( 费 马 定理 1) ”如 果 p 是 素数 , 且 p 不 能 被 a 整除 ,那么 a! 二 1 mod p。 例 
如 : a=5,p=11 
ai mod p= 5 mod 11 一 (5 X5X5X5) mod1l1 
= (64X5)modll = 45 mod 11=1 
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定理 3-3( 费 马 定理 2) ”如 果 p 是 素数 ,a 是 正 整 数 , 且 gcd(a,p) 王 1, 那么 a? 
a mod p. 例 如 : a 二 2,p 二 5 
armodp=2 mod5=32mod5=2 


3.4.2 ” 欧 拉 定理 


定义 3-6 ” 当 m 记 1 时 , 欧 拉 函 数 gCm) 表 示 比 m 小 , 且 与 m 互 素 的 正 整 数 的 个 数 。 
例如 : m 二 12, 比 12 小 且 与 12 互 素 的 正 整 数 为 1.5、7、11, 所 以 
9(12) = 4 


欧 拉 函 数 具 有 以 下 性 质 : 

(1) 当 m 是 素数 时 ,pm) 二 m 一 1, 即 比 m 小 的 所 有 正 整 数 , 如 pg(11) 二 10。 
(2) 当 m 二 pq, 且 p、g(p 隆 9) 均 为 素数 时 ,glm) 二 pg(p)p(g) 二 (jp 一 1)(g 一 1)。 
证 明 : m= 二 pg, 比 m 小 的 正 整 数 的 集合 Z=={1、2、…… ,pq—1)}.。 

在 集合 Z 中 ,与 m 不 互 素 的 数 为 p 的 倍数 和 g 的 倍数 。 

zp 的 倍数 的 集合 为 {p、2p、…… 、(g 一 1)p), 共 (g 一 1) 个 数 。 

g 的 倍数 的 集合 为 {g、2g、…… 、(p 一 1)gq), 共 (p 一 了 个 数 。 

所 以 ,plm)= 二 (pq 一 1)—(g—1)—(p—1)=(p—1)X(g—1)=9p(p)y(g)。 
例如 : m= 二 15=3X5, pg(m)= 二 2X4=8 

比 15 小 且 与 15 互 素 的 正 整 数 为 1.2、4、7、8、11、13、14, 所 以 pg(15) 二 8。 
(3) 当 m 二 ,上 且 p 为 素数 时 ,gp(m) 二 pC(p 一 1)。 

证 明 : 二 户 , 比 m 小 的 正 整 数 的 集合 Z 二 {1、2、…… sp —1)s 

在 集合 Z 中 ,与 m 不 互 素 的 数 为 p 的 倍数 。 

户 的 信 数 的 集合 为 {(p、2p、…… 、(p 一 1D)p}), 共 (p 一 上 个 数 ， 
所 以 ,gp(m)==(p? 一 1) 一 (p—1)=p(p—1)。 

例如 : m= 二 9==3?, g(m) 二 3X2=6 

比 9 小 且 与 9 互 素 的 正 整 数 为 1.2、4、5、7、8, 所 以 pg(9) 二 6。 

当 计 算 一 个 数 的 欧 拉 函 数 g(m) 时 ,可 以 采用 以 下 两 个 公式 进行 计算 。 
(1) 车 一 个 数 m 可 以 写成 m= 二 ph X ps X……… X pr (pi 为 素数 ), 则 


gpm) = [pp;—1) (3-3) 
i=1 


例如 : mm 一 120 一 22X3X5 
plm)=2: X(2—1)X (3—1) X(5—1)=32 
(2) 对 任 一 正 整数 ,车 其 可 写成 pf X pg XX…… Xpr , 则 


gpm) = mx 了 (= 二 (3-4) 
Pp; p: 


例如 : m= 二 120 


T 1 1 
plm) 120x (1 lk yj 3 32 


定理 3-4( 欧 拉 定 理 ) 对 于 任何 互 素 的 两 个 整数 cd 和 nn, 有 ar™ 二 1 mod n。 
欧 拉 定理 具有 以 下 性 质 : 
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(1) 当 ? 为 素数 时 , 欧 拉 定理 相当 于 费 马 定理 ; 
(2) ar ?t=a mod n; 
(3) (arm )*=] mod n。 
例如 : a 二 7,n 二 10,9(10) 二 4,7! mod 10 一 1。 
例 3-4 求 7” 的 后 三 位 数字 。 
解 : 原 题 等 价 于 78 mod 1000。 
1000 王 2 X5 ,所 以 2(1000) =1000X (1 yj(! 加 400 
由 于 7 与 1000 互 素 ,根据 欧 拉 定理 得 
77%) mod 1000 一 1 


749 mod 1000 = 1 
所 以 7 号 mod 1000 王 (73 X749 X740) mod 1000 二 343, 即 7 的 后 三 位 数字 为 343 。 


3.4.3 本 原 元 


定义 3-7 对 于 任何 互 素 的 两 个 整数 a 和 ?7 ,在 方程 a" 二 1 mod n 中 ,至 少 有 一 个 正 整 
数 m 满足 这 一 方程 (因为 p(n) 是 其 中 的 一 个 解 ), 那 么 ,最 小 的 正 整 数 解 m 为 模 n 下 a 的 
阶 。 如 果 a 的 阶 吉 二 p(n), 称 a 为 n 的 本 原 元 。 

例如 : a=7, n=10,9(10)=4 

在 方程 7 三 1 mod 10 中 ,7 三 7 mod 10,7: 王 9 mod 10,73 王 3 mod 10,74 王 1 mod 10, 而 
gp(10) 二 4, 所 以 7 为 10 的 本 原 元 。 

例如 : a=7, "一 19,8(19) 王 18 

在 方程 7 一 1 mod 19 中 ,7 一 7 mod 19,7? 二 11 mod 19,73 一 1 mod 19 ,而 (19) 一 18， 
所 以 7 不 是 19 的 本 原 元 。 

这 里 需要 注意 两 点 : 

(1) 一 个 数 的 本 原 元 不 唯一 ; 

(2) 有 些 数 没有 本 原 元 。 

例如 : a=2, ”一 19,p(19) 一 18 

经 过 计算 2 是 19 的 本 原 元 。 同 理 ,3、10、13、14、15 都 是 19 的 本 原 元 。 

例如 : a 王 3,z 一 8,p(8) 一 4 

经 过 计算 3 不 是 8 的 本 原 元 。 同 理 5 和 7 也 不 是 8 的 本 原 元 ,所 以 8 没有 本 原 元 。 

概括 地 说 ,只 有 2、4、p* 、2p* 有 本 原 元 ,其 中 a 为 正 整数 ,p 为 奇 素数 。 


@.5 中 国 余数 定理 


孙子 算 经 : 今 有 物 不 知 其 数 ,三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几 何 ? 
其 含义 其 实 是 求 正 整数 解 x 满足 : 


六 一 2 mod3 
| -ee 


并 一 2 mod7 


定理 3-5 令 训 ,ns，,…,n 为 两 两 互 质 的 正 整 数 ,NN 一 Iw 则 z= al mod mi 一 as mod 


ze 二 …… 一 ae mod n, 在 [0,N 一 1] 中 有 唯一 解 ， 称 为 中 国 余数 定理 。 
下 面 来 分 析 如 何 求 中 国 余数 定理 的 解 。 


令 Ni= 袜 , 则 工 一 >) Ni X yi: X a; mod N ,其 中 
i i=1 


NiXyi 二 1( mod ni), 亦 即 y= 二 N77! mod ni;。 
孙子 算 经 之 例子 解法 如 下 : 
N=3x5XxX7= 105 
Ni=5X7= 35,N, =3X7=21,N; =3Xx5=15 
35 X 三 1mod3 一 yw 一 2 
21Xyw 一 1mod5 字 yw 一 1 
15 X yw 一 1 mod 7 一 y 一 1 


所 以 ,z=35X2X2 十 21X1X3 十 15X1X2=23 mod 105。 

中 国 余数 定理 的 计算 可 以 总 结 为 

给 定 al ,az ya yza 且 二 ns,gcd(m ,ns) 二 1, 求 xz, 使 得 0 三 zx 二 mn，n, 并 满足 z= 
az mod m=a: mod n:。 

解法 如 下 : 

首先 , 求 出 x 满足 wm 三 1 modm 。 

(1) 若 wm 过 (as mod no), 则 

并 一 (((ai 一 (as modm)) eu) modm). nas 
(2) 车 a 过 (as mod no), 则 
I=(((q 二 mm (as mod m)) eu) modm) .ns 二 as 

在 非 对 称 密码 算法 RSA 中 ,利用 中 国 余数 定理 可 以 使 得 解密 速度 约 为 原来 的 四 倍 。 

用 中 国 余数 定理 可 解决 安全 广播 系统 、 密 钥 确认 、 存 取 控 制 等 问题 。 


6.6 单 向 函数 与 单 向 暗 门 函数 


一 个 单 向 函数 /:X>Y, 应 满足 下 列 条 件 : 

(1) 对 任 一 zxEY, 可 以 很 容易 算出 y= 二 f(x)。 

(2) 给 定 任 一 yEY, 算 出 工 满足 y=z) 在 计算 上 不 可 行 。 

一 个 单 向 暗 门 函数 /:X>Y, 应 满足 下 列 条 件 : 

(1) 对 任 一 zxEX, 可 以 很 容易 算出 y==f(zx)。 

(2) 给 定 任 一 yEY, 算 出 xz 一 广 :(y) 在 计算 上 不 可 行 ; 若 知道 某 一 个 额外 的 秘密 参数 
( 称 为 暗 门 ) , 则 可 以 很 容易 算出 z= 广 :(y) 。 

单 向 函数 的 应 用 如 将 某 一 个 秘密 值 转换 成 一 个 公开 值 ,而 任何 人 无 法 从 公开 值 中 求 得 
该 秘密 值 。 例 如 ,将 密 钥 转 换 成 一 个 公开 值 存放 于 一 个 公开 目录 中 , 握 有 真正 密 钥 的 人 可 以 
将 其 密 钥 先 经 过 单 向 函数 转换 后 ,再 与 存放 于 公开 目录 的 公开 值 加 以 比 对 ,而 达到 验证 身分 
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的 目的 。 

单 向 瞳 门 函数 的 应 用 如 将 某 一 个 秘密 值 转换 成 一 个 公开 值 后 , 借 由 暗 门 可 以 将 该 公开 
值 反 解 成 原来 的 秘密 值 。 例 如 ,加 解密 运算 的 暗 门 为 密 钥 。 

例如 ,在 多 项 式 中 , 令 y= 二 f(z)==(ao 十 qrz 十 … 十 as-1x”! 十 xX") mod p。 若 给 定 ao ， 
Qals"… ,ansp 和 zz, 很 容易 算出 y= 二 f(z)。 但 车 给 定 ao sa,…,as、p 和 yy, 欲求 出 f(z) 的 根 
Z, 则 至 少 需要 台 (logsp)? 个 乘法 。 当 与 p 很 大 时 , 求 出 f(x) 的 根 z 是 相当 困难 的 。 

再 如 ,在 离散 对 数 中 , 令 p 为 质数 且 p 一 1 含有 一 个 大 质 因 子 g。 给 定 一 整数 g、1 二 g 一 
Pp 一 1 与 xz, 计算 y= 二 g” mod p 最 多 仅 需 [1ogzx | 十 w(x) 一 1 个 乘法 ,其 中 w(z) 表 示 二 进 制 
表示 法 工 内 1 的 个 数 。 反 之 ,给 定 一 整数 g 与 y, 求 出 zx 满足 y 二 g*” mod p 需要 exp{(Inp 
ln(ln p)) 癌 ) 次 运算 。 


习题 
1. 一 个 数 的 本 原 根 是 什么 ? 
2. 对 两 个 连续 的 整数 nn 和 十 1, 为 什么 gcd(n,n 十 1) 二 1? 
3. 利用 Fermat 定理 计算 32 mod 11。 
4. 找 出 25 的 所 有 本 原 根 。 
5. 用 扩展 欧 几 里 得 算法 求 gcd(7,31) 和 77? mod 31。 
6. 利用 中 国 剩余 定理 求解 下 式 。 
ZX 三 2 mod 3 
ZX 三 1 mod5 


ZX 三 1 mod7 


分 组 加 密 技术 | 


人 1i 分 组 密码 


4.1.1 分 组 密码 概述 


分 组 密码 是 将 明文 消息 编码 得 到 的 数字 序列 划分 成 长 为 n 的 组 ,各 组 分 别 在 密 钥 控制 
下 变换 成 等 长 的 输出 数字 序列 。 

在 相同 的 密 钥 下 ,分 组 密码 对 长 为 的 输入 明文 组 所 实施 的 变换 是 等 同 的 ,所 以 只 需 
究 对 任 一 组 明文 数字 的 变换 规则 。 这 种 密码 实质 上 是 字 长 为 n 的 数字 序列 的 代 换 密码 。 分 
组 密码 原理 图 如 图 4-1 所 示 。 将 明文 转化 为 二 进 制 后 ,对 其 分 组 ,每 组 采用 相同 的 加 密 体 
制 ,并 分 别 得 到 密 文 ,再 转化 成 字符 。 


明文 010100101 5 11111 1110100101 a | 站 了 
Pl : 010100101 过 11111 P2 : 1110100101 he 11111 P3 : 010111101 a 11111 
[一 直 分 组 加 密 一 ”分 组 加 密 号 分 组 加 密 
C1: 1101011 ... 000111 C2: 1010101010 a 01011 C3: 110100101 六 10001 
和 ^%d*(>.@!~> kKl**&*S%#36 ^78 h*% S$@ 35789 %% ... $$H@ WH*&& 


4-1 分 组 密码 原理 图 
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为 了 保证 加 密 算法 的 安全 性 ,对 密码 算法 有 以 下 要 求 : 

(1) 分 组 长 度 足够 大 。 分 组 长 度 nn 要 足够 大 ,使 分 组 代 换 字母 表 中 的 元 素 个 数 2 足够 
大 ,防止 明文 穷 举 攻击 法 奏效 。DES、IDEA 和 FEAL 等 分 组 密码 都 采用 n= 二 64, 使 穷 举 攻击 
很 难 实 现 。 

(2) 密 钥 量 足 够 大 。 密 钥 量 要 足够 大 , 尽 可 能 消除 弱 密 钥 并 使 所 有 密 钥 同 等 地 好 ,以 防 
止 密 钥 穷 举 攻击 奏效 。 但 密 钥 又 不 能 过 长 ,以 便于 密 钥 的 管理 。 

(3) 由 密 钥 确定 置换 的 算法 要 足够 复杂 。 充 分 实现 明文 与 密 钥 的 扩散 和 混淆 ,没有 
简单 的 关系 可 循 ,能 抗击 各 种 已 知 的 攻击 ,使 对 手 破译 时 除了 用 穷 举 法 外 ,无 其 他 捷径 
可 循 。 

(4) 加 密 和 解密 运算 简单 ,易于 软件 和 硬件 高 速 实现 。 在 以 软件 实现 时 ,应 选用 简单 的 
运算 ,使 作用 于 子 段 上 的 密码 运算 易于 标准 处 理 器 的 基本 运算 ,如 加 、 乘 、 移 位 等 ; 为 了 便于 
硬件 实现 ,加 密 和 解密 过 程 之 间 的 差别 应 仅 在 于 由 秘密 密 钥 所 生成 的 密 钥 表 不 同 而 已 。 这 
样 , 加 密 和 解密 就 可 用 同一 器 件 实现 。 


4.1.2 分 组 密码 设计 思想 


扩散 和 混淆 是 由 Shannon 提出 的 设计 密码 系统 的 两 个 基本 方法 ,目的 是 抗击 敌手 对 密 
码 系统 的 统计 分 析 。 扩 散 是 将 明文 的 统计 特性 散布 到 密 文 中 去 ,实现 方式 是 使 得 明文 的 每 
一 位 影响 密 文中 多 位 的 值 ,等 价 于 密 文 中 的 每 一 位 均 受 明文 中 多 位 的 影响 ; 混淆 是 使 密 文 
和 密 钥 之 间 的 统计 关系 变 得 尽 可 能 复杂 ,以 使 敌手 无 法 得 到 密 钥 。 

Horst Feistel(IBM Labs) 在 20 世纪 70 年 代 初 ,设计 了 Feistel 网 络 结构 ,提出 利用 乘 
积 密码 可 获得 简单 的 代 换 密码 ,乘积 密码 是 指 顺 序 地 执行 两 个 或 多 个 基本 密码 系统 ,使 
得 最 后 结果 的 密码 强度 高 于 每 个 基本 密码 系统 产生 的 结果 。 图 4-2 是 Feistel 的 网 络 示 
意图 。 

Feistel 网 络 中 每 轮 结构 都 相同 ,每 轮 中 右 半 数据 被 作用 于 轮 函 数 下 后 ,再 与 左 半数 据 
进行 异 或 运算 ,这 一 过 程 就 是 上 面 介 绍 的 代 换 。 每 轮 的 轮 函数 结构 都 相同 ,但 以 不 同 的 子 密 
钥 作为 参数 。 代 换 过 程 完成 后 ,再 交换 左 、 右 两 半数 据 ,这 一 过 程 称 为 置换 。 这 种 结构 是 
Shannon 提出 的 代 换 -置换 网 络 的 特有 形式 。 

Feistel 网 络 的 实现 与 以 下 参数 和 特性 有 关 : 

(1) 分 组 大 小 。 分 组 越 大 则 安全 性 越 高 ,但 加 密 速 度 就 越 慢 。 分 组 密码 设计 中 最 为 普 
遍 使 用 的 分 组 大 小 是 64 比特 。 

(2) 密 钥 大 小 。 密 钥 越 长 则 安全 性 越 高 ,但 加 密 速度 就 越 慢 。 现 在 通常 使 用 128 比特 
的 密 钥 长 度 。 

(3) 轮 数 。 单 轮 结构 远 不 足以 保证 安全 性 ,多 轮 结构 可 提供 足够 的 安全 性 。 典 型 地 , 轮 
数 取 为 16。 

(4) 子 密 钥 产生 算法 。 该 算法 的 复杂 性 越 大 , 则 密码 分 析 的 困难 性 就 越 大 。 

(5) 轮 函数 。 轮 函数 的 复杂 性 越 大 ,密码 分 析 的 困难 性 也 越 大 。 
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明文 (2w 比 特 ) 


图 4-2 Feistel 的 网 络 示 意图 


人 2 S-DES 


数据 加 密 标准 (Data Encryption Standard,DES) 是 迄今 为 止 世 界 上 最 为 广泛 使 用 和 流 
行 的 一 种 分 组 密码 算法 , 它 的 分 组 长 度 为 64 比特 , 密 钥 长 度 为 56 比特 ,16 轮 迭 代 。 它 是 由 
美国 IBM 公司 研制 的 ,基于 Feistel 网 络 结构 。DES 在 1975 年 3 月 17 日 首次 被 公布 在 联 
邦 记录 中 ,经 过 大 量 的 公开 讨论 后 ,DES 于 1977 年 1 月 15 日 被 正式 批准 并 作为 美国 联邦 信 
息 处 理 标准 , 即 FIPS-46 ,同年 7 月 15 日 开始 生效 ,作为 数据 加 密 标 准 。 

为 了 更 好 地 理解 DES 算法 .美国 圣 塔 克 拉 拉 大 学 的 Edward Schaefer 教授 于 1996 年 开 
发 了 Simplified DES 方案 ,简称 SDES 方 案 。 它 是 一 个 供 教 学 而 非 安 全 的 加 密 算 法 , 它 与 
DES 的 特性 和 结构 类 似 , 但 参数 小 ,明文 分 组 为 8 位 , 主 密 钥 分 组 为 10 位 ,采用 两 轮 迁 代 。 


4.2.1 S-DES 加 密 原 理 


S-DES 的 加 密 原 理 如 图 4-3 所 示 。 

S-DES 的 具体 实现 步骤 如 下 。 

(1) 初始 置换 IP: 将 8 位 的 明文 按照 置换 顺序 (26314857) 进 行 位 置 变化 ,置换 后 分 为 
左 4 位 Lo 和 右 4 位 R。 
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明文 


| 


TP 置 换 (26314857) | 


1 1 
Lo Ro | 
I 
= 
1 1 
4 A | 
6 和 | 
1 1 
L 用 | 
1 1 
IP-! 置 换 (41357286) | 


] 


图 4-3 S-DES 的 加 密 原理 图 


(2) 第 1 轮 运算 ,R, 一 方面 直接 输出 作为 下 一 轮 的 工 , 另 一 方面 作为 函数 的 输入 与 8 
位 的 子 密 钥 Ki 参与 函数 运算 ,运算 结果 与 Lo。 异 或 ,结果 作为 下 一 轮 的 R。 

(3) 第 2 轮 运算 ,R, 一 方面 直接 输出 作为 下 一 轮 的 R,, 另 一 方面 作为 / 函数 的 输入 与 8 
位 的 子 密 钥 KK, 参 与 函数 运算 ,运算 结果 与 L1 异 或 ,结果 作为 下 一 轮 的 La: 。 

(4) 道 置换 IP 。 在 S-DES 的 整个 加 密 过 程 中 ,包含 两 个 重要 的 组 成 部 分 ,一 个 是 子 
密码 生成 过 程 ,一 个 是 / 函数 结构 。 


4.2.2 S-DES 的 子 密码 生成 过 程 


在 图 4-3 中 的 子 密 钥 Kl 和 K;. 是 由 10 位 主 密 钥 产 生 的 。S-DES 的 子 密 钥 生成 过 程 如 
图 4-4 所 示 。 

S-DES 子 密 钥 的 生成 过 程 是 将 一 个 10 比特 的 主 密 钥 KK 生成 两 个 8 比特 的 子 密 钥 ,其 
步骤 如 下 。 

(1) 主 密 钥 K 进行 P10 置换 (3、5、2、7、4、10、1、9、8、6)。 

(2) 分 成 左 5 位 和 右 5 位 ,再 分 别 进行 LS 一 1 操作 ( 左 循环 1 位 ) ,其 结果 一 方面 作为 下 
一 轮 的 初始 值 , 一 方面 进行 P8 置换 (6、3、7、4、8、5、10、9) ,得 到 Ki(P8 相当 于 将 10 位 截取 
成 8 位 )。 
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主 密 钥 K 
P10 
LS-1 LS-1 
Pg 
Ns 
1 1 
LS-2 LS-2 
1 1 
Ps 
CC Kk 


图 4-4 S-DES 的 子 密码 生成 过 程 


(3) 再 分 别 左 循环 2 位 ,经 过 P8 置换 ,得 到 K,。 
例 4-1 主 密 钥 玉 王 10100 00010 , 求 子 密 钥 K 和 开 ，。 
解 : (1) 主 密 钥 经 过 P10 置换 得 到 : 10000 01100。 
(2) LS 一 1 操作 : 00001 11000。 
(3) P8 置换 产生 K,: 10100100。 
(4) LS 一 2 操作 : 00100 00011。 
(5) P8 置换 产生 K,: 0100 0011。 
所 以 ,Ki: 10100100,K;: 0100 0011 。 


4.2.3 S-DES 的 f 函数 结构 
S-DES 的 /函数 结构 如 图 4-5 所 示 。 


Ro 或 RI 


EI/P 扩 展 及 置换 
(41232341) 


异 或 |- 一 | 或 


1 1 

SI 5 

| 了 
P4 置 换 2431 


4-5 S-DES 的 函数 结构 
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S-DES 的 /函数 结构 的 具体 实现 步骤 如 下 。 

(1) E/P 扩展 及 置换 : 将 4 位 Ro 或 Ri 扩展 为 8 位 。 

(2) 扩展 后 的 8 位 与 密 钥 Ki 或 KK, 异 或 ,输出 8 位 。 

(3) 左边 4 位 作为 S; 盒 输入 ,右边 作为 S: 盒 输入 。 

(4) 在 Si 和 S: 中 ,第 1 位 与 第 4 位 结合 形成 2 位 代表 S 盒 的 行 号 ,第 2 位 与 第 3 位 结合 


形成 2 位 代表 S 盒 的 列 号 ,得 到 S 盒 的 输出 。S-DES 的 S 盒 如 表 4-1 所 示 。 


(5) 进行 P4 置换 ,得 到 f 函数 的 输出 。 
表 4-1 S-DES 的 S 盒 


Si 00 01 10 11 S$; 00 01 10 11 
00 01 00 11 10 00 00 01 10 11 
01 11 10 01 00 01 10 00 01 11 
10 00 10 01 11 10 11 10 01 00 
11 11 01 00 10 1 10 01 00 11 


例 4-2 设 R,= 二 0101,K 二 10100100, 求 /函数 的 输出 。 
解 : (1) E/P 扩展 及 置换 : 10101010。 
(2) 与 天 1 异 或 : 00001110。 
(3) Si 输入 = 二 0000 Ss 输入 = 二 1110 
S51 行 号 =00 ”Si 列 号 = 二 00 ”Si 输出 ==01 
S: 行 号 ==10”S: 列 号 二 11 Ss 输出 ==00 
(4) P4 置换 : /输出 ==1000。 
例 4-3 设 主 密 钥 KK 二 10100 00010, 用 S-DES 加 密 明 文字 母 C。 
解 : (1) 计算 字 密 钥 : 由 例 4-1 的 结果 得 K,: 10100100,K:: 0100 0011。 
(2) 字母 C 的 ASCII 为 67, 对 应 的 二 进 制 为 0100 0011 。 
(3) IP 置换 : L。 = 二 1000,R。 二 0101。 
(4) 第 1 轮 : f (Ro ,Ki ) 一 1000 
L, ® f= 1000@ 1000= 0000 
(5) Li= R,=0101; R=0000。 
(6) 第 2 轮 : f (Ri,K;)=1001 
Li1@f=0101@®1001= 1100 
(7) Ls= 1100; R,=R, =0000。 
(8) IP-: 置 换 :0100 0100 (ASCII 为 68, 对 应 字母 D)。 


人 3 美国 数据 加 密 标准 


DES 是 在 20 世纪 70 年 代 由 美国 IBM 公司 发 展 起 来 的 ,上 且 被 美国 国家 标准 局 公布 为 数 


据 加 密 标 准 的 一 种 区 块 加 密 法 。 所 谓 的 区 块 加 密 法 是 对 一 定 大 小 的 明文 或 密 文 来 做 加 密 或 
解密 动作 ,而 在 DES 加 密 系 统 中 ,每 次 加 密 或 解密 的 区 块 大 小 均 为 64 位 ,因此 DES 没有 密 
文 扩充 的 问题 。 
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就 一 般 数 据 而 言 ,无 论 明文 或 密 文 ,其 数据 大 小 都 大 于 64 位 。 这 时 只 要 将 明 密 文中 每 
64 位 当成 一 个 区 块 加 以 切割 ,再 对 每 一 个 区 块 做 加 密 或 解密 即 可 。 另 外 ,DES 所 用 的 加 密 
或 解密 密 钥 也 是 64 位 大 小 ,但 其 中 有 8 个 位 是 用 来 做 错误 更 正 的 ,所 以 64 位 中 真正 是 有 密 
钥 效用 的 只 有 56 位 。 

DES 的 设计 准则 如 下 。 

(1) 随机 性 : 输出 与 输入 无 规律 。 

(2) 雪崩 效应 : 改变 输入 中 的 1 位 ,会 导致 输出 一 半 以 上 的 位 被 改变 。 

(3) 完全 性 : 每 个 输出 位 是 所 有 输入 位 的 一 个 复杂 函数 ,而 不 是 某 个 或 某 些 位 的 函数 。 

(4) 非 线性 : 加 密 函数 和 密 钥 之 间 是 非 线 性 的 。 

(5) 相关 免疫 性 : 明文 和 密 文 不 存在 相关 性 。 


4.3.1 DES 加 密 原 理 
DES 加 密 算法 的 原理 框图 如 图 4-6 所 示 。 


64 比 特 明文 56 上 比特 密 钥 
1 1 1 


左 循环 移 位 


初始 置换 ) 


第 | 轮 “ ) (加 换 选 择 2 
1 1 

第 ? 轮 。 )- 全 《 吕 换 选择 )《 左 循 环 移 位 ) 
T 


1 1 
第 16 轮 。 )- As (置换 选择 ) 一 一 左 循环 移 位 ) 


左右 交换 


t 二 
64 比 特 密 文 


4-6 ”DES 加 密 算法 原理 框图 


具体 的 加 密 步骤 如 下 。 
(1) 令 明 文 M 二 te…t6s。 将 明文 进行 初始 置换 ,进行 重新 排列 后 ,初始 设 定 32 位 数据 
区 块 如 下 : 
Lo 一 三 tiz…taz Ro = tssta"te 
(2) 执行 16 轮 迭 代 运 算 ,第 i 轮 迄 代表 达 式 如 下 (i 二 1,2,… ,16): 
Li < Ri 
Ri < Ls @ FR 天) 
其 中 四 为 异 或 运算 ,K;(48 位 ) 为 密 钥 K(56 位 ) 所 产生 的 子 密 钥 。 
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vt 


(3) 执行 32 位 数据 区 块 的 交换 , 亦 即 

Lis = ctca…caz < Ris 

Ris = caaca…ce < Lis 
(4) 令 C=cacz…cee。 将 C 进行 道 初始 置换 ,重新 排列 后 ,输出 密 文 C。 
注 : 解密 时 密 文 C 从 IP- 表 进入 , 子 密 钥 从 至 Ki 依 序 产生 。 


4.3.2 ”DES 详细 的 加 密 过 程 


(1) 初始 置换 表 如 表 4-2 所 示 , 逆 初始 置换 表 如 表 4-3 所 示 。 
(2) 了 函数 (Ri ,Ki)。 


表 4-2 初始 置换 表 IP 


58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 
61 53 45 37 29 2 13 5 
63 55 47 39 31 23 15 7 
表 4-3 ” 逆 初始 置换 表 IP" 
40 8 48 16 56 24 64 32 
39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 29 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 57 25 


利用 表 4-4 扩 增 排列 表 ( 简 称 表 下 ) ,将 R;-1(32 位 ) 扩 充 成 48 位 ,并 将 结果 与 KK; 进行 
XOR 运算 形成 8 个 区 块 , 每 一 个 区 块 为 6 位 , 亦 即 
Bi = bb,bs B, = bbs*bs 
Bs = bisbu'*bs B, = bisbao*ba 
Bs = bssbos***bso Be = bsibss***bss 
B; = bsbss**£brs Bs = bisbu**bis 


利用 Si-box 将 B; 置换 成 4 位 (i 二 1,2,…,8), 将 结果 经 过 缩减 排列 表 ( 简 称 表 P) 排 列 , 如 
表 4-5 所 示 ,其 结果 为 f(Rii1 ,Ki)。 
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表 4-4 扩 增 排列 表 E 


32 1 2 3 4 
4 5 6 时 

9 10 11 12 13 
12 13 14 15 16 17 
16 17 18 19 20 21 
20 21 22 23 24 25 
24 25 26 27 28 29 
28 29 30 31 32 1 


表 4-5 缩减 排列 表 P 


16 17 20 21 29 12 28 17 
1 15 23 26 5 18 31 10 
2 8 24 14 32 27 3 9 
19 13 30 6 22 1 4 25 


(3) 利用 Si-box 将 B 置 换 成 4 位 (i 王 1,2,…,8)。 
令 Bi 为 ziza…ze。 取 zizs 之 值 为 列 坐标 ~, 取 zzzsz4zs 之 值 为 行 坐标 c。 


从 表 4-6 替换 盒 (简称 S-box) 的 Si-box 中 决定 (r,c) 之 值 ,并 以 4 位 表示 之 。 因 为 在 Si- 
box 中 的 值 都 介 于 0 至 15 之 间 , 转 成 二 进 制 时 , 仅 需 以 4 位 表示 之 即 可 , 故 原来 为 6 位 之 
了 ,经 过 Si-box 转换 后 变 为 4 位 。 

例如 ,(011001), 经 由 S;-box, 由 第 1 和 第 6 位 中 得 到 (01),, 而 第 2 至 第 5 位 得 到 
(1100)。, 即 从 第 1 列 中 的 第 12 个 位 置 得 到 数值 12 ,表示 成 二 进 制 为 (1100)，。 


表 4-6 替换 盒 (S-box) 


0 14|4|13|1 2|115|11|8 3|10|6|12|5 9 0 7 

1 0|115|7 4 114|2|13|1 10| 6 |12|. 2|9 5 3 8 
Si-box 

2 1|114|8|13 2 |1|15|12 7 3|10|5 0 

3 15 | 12 2 4 9 5 | 11 14 | 10 | 0 6 | 13 

0 15 | 1 I |. | 4 9 7 13 | 12 | 0 5 | 10 

1 13 | 4 7 115|1 2 14 | 12 | 0 10 | 6 @ :型 
Sa-box 

2 Ww 5 8 |12| 6 9 3 2 | 15 

3 13| 8|110|11 3 |15 | 4 2 | | 7 |12|0 5 |14| 9 

0 10 | 0 14 | 6 3 |1151|1 5 1|113|12|7|11|4 2 8 

1 13 | 7 9 3 4 6|110|2 8 2 | 
Sa-box 

2 13 | 6 4 9 8|15|3 8 | 2|12|5|10|114| 7 

3 1|110|13|0 6 9 | 8 7 4|115|14|3|11|5 2 | 12 

0 7|113|14|3 0 6 9° 180. 1 2 8 5|111|12|4|15 

1 13|8|11|5 6 |15 | 0 3 4 # 2 | 12 10 | 14 | 9 
S4-box 

2 10 0 |12|1|17113115|1 3|14|5 2 8 4 

3 3 | 15 6|10|11113|8 9 4 5 |1|12| 7 2 | 14 
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续 表 
行 
列 0 1 2 3 4 5 6 7 8 S12BI13|IM|I 
0 2|112|4 1 7|10|11|6 8 5 a | 3 | 区 小 和 | 了 | 9 
1 14|111|2|112|4 了 139 于 5 0|15|10|3 9 8 6 
Si-box 
2 4 2 0.13 | 8|15|9|12|5 6 3 0 | 14 
3 11|8|112|7 1|114|2113|6115|10 1:10| 4# 5 3 
0 312 1 1 | 10| .3 | 9 2 6 8 0|13|3 痢 : 小 卫生 外 秋 | 
1 10 | 15 | 4 2 7 |12|9 5 6 1 | 各 8 
Se-box 
2 9114|15|5 2 8|112|3 7 0 4|110|1 13 | 11 | 6 
3 3 到 | 了 | 5|115|10|11|14|1 kA 6 0 8 | 13 
0 11|2|114|15|0 8|113|3112|9 ka SliWIs6 1 
1 13|0|11|7 4 9 1|10|14|3 5|112|2|15|8 6 
Sr-box 
2 1 4|1|13|12| 3 7|114|10|15|6 8 0 5 9 2 
3 6 | W138 1 委 小 | 和 深 9 5 0|15|14|2 3 | 12 
0 13 | 2 8 4 6 | 15 | 11 1 101 9 3 |141|5 0 |112| 7 
1 1 15|1318 |10|3 Li 4 |12| 5 II0|lW|9 2 
Ss-box 
2 7|111|4 1 9|112|14|2 0 6|110|13|15|3 5 8 
3 1|114|7 4110|8|13|15|12|9 0 3 5 .| 3 


(4) 从 密 钥 (56-bit) 产 生子 密 钥 K;(48 位 )。 将 每 7 位 区 块 加 上 一 个 偶 同位 检查 位 ， 
将 天 扩充 成 64 位 。 利 用 表 4-7 的 密 钥 排列 -1 表 将 检查 位 除 掉 (因为 在 PC-1 表 中 无 8,16， 
24,32,48,56,64), 则 开 又 成 为 56 位 ,表示 为 PC-1(K) 二 CD, 其 中 C 与 D 各 为 28 位 。 
过 表 4-9 左 位 移 表 (简称 LS) ,将 位 做 左旋 的 动作 ,表示 为 Ci 二 LSi(Ci-1)、D; 二 LSi(Di1)。 
利用 表 4-8 密 钥 排列 -2 表 ( 简 称 PC-2) 将 密 钥 转 为 48 位 ,K; 二 PC-2(CD,)。 


表 4-7 密 钥 排 列 PC-1 


再 经 


57 49 41 33 25 17 9 
1 58 50 42 34 26 18 
10 2 59 51 43 35 27 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 
7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 
表 4-8 密 钥 排 列 PC-2 
14 17 11 24 . 5 3 28 
15 6 21 10 23 19 12 4 
26 8 16 7 27 20 13 2 
41 52 31 37 47 55 30 40 
51 45 33 48 44 49 39 56 
34 33 46 42 50 36 29 32 
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@.4 分 组 密码 的 运行 模式 


和 其 他 密码 体制 一 样 ,DES 也 存在 安全 性 问题 , 即 弱 密 钥 与 半 弱 密 钥 。 所 谓 弱 密 钥 是 
指 在 所 有 可 能 的 密 钥 中 ,有 某 几 个 特别 的 密 钥 ,会 降低 DES 的 安全 性 ,所 以 使 用 者 必须 避免 
使 用 这 几 个 弱 密 钥 , 换 句 话说 , 弱 密 钥 是 指 密 钥 全 部 为 1 或 0 或 某 一 半 全 为 1 或 全 为 0， 
将 会 造成 次 密 钥 呈现 方式 Ki 到 Ki 等同 于 Ks 到 K,, 亦 即 密 文 再 加 密 一 次 将 会 还 原 成 明 
文 ,也 就 是 不 需要 使 用 解密 程序 。 所 谓 的 半 弱 密 钥 是 指 一 组 密 钥 对 X 与 了 ,使 得 以 密 钥 X 
加 密 可 以 用 另 一 密 钥 Y 解密 ; 反之 亦 然 。 

1999 年 ,美国 NIST 公布 FIPS PUB 46-3, 该 标准 规范 一 个 加 强 DES 安全 性 的 3-DES 
算法 (或 称 为 Triple DES) ,如 图 4-7 所 示 。 


Kl Kk K; 


| | | 


M—™=| DES = DES- ~ DES 了 
M 一 = = -ec 


DES-! DES DES- 
KI Kk K; 


图 4-7 3-DES 加 解密 架构 


3-DES 主要 是 由 原本 的 DES 加 密 与 解密 算法 所 组 成 的 ,其 安全 性 更 高 且 密 钥 长 度 更 
长 。 令 Ek(M) 二 C 与 Dk(C) 二 M, 其 中 EE 与 D 为 DES 加密 与 解密 算法 、K 为 密 钥 .M 为 明 
文 以 及 C 为 密 文 。 

3-DES 是 三 重 数据 加 密 算法 (Triple Data Encryption Algorithm,TDEA) 块 密码 的 统 
称 。 它 相当 于 对 每 个 数据 块 应 用 三 次 DES 加 密 算法 。 由 于 计算 机 运算 能 力 的 增强 ,原版 
DES 密码 的 密 钥 长 度 变 得 容易 被 暴力 破解 ; 3-DES 是 设计 用 来 提供 一 种 相对 简单 的 方法 ， 
即 通过 增加 DES 的 密 钥 长 度 来 避免 类 似 的 攻击 ,而 不 是 设计 一 种 全 新 的 块 密码 算法 。 

针对 不 同 的 应 用 ,FIPS PUB 81 定义 了 区 块 加 密 法 的 4 种 操作 模式 : ECB 模式 
(Electronic Codebook Mode) ,CBC 模式 (Cipher Block Chaining Mode)、CFB 模式 (Cipher 
Feedback Mode) 以 及 OFB 模式 (Output Feedback Mode) ,此 4 种 模式 皆 适 用 于 DES、 
3-DES 及 AES。 此 4 个 模式 的 运作 情形 分 述 如 下 。 


1. ECB 模式 
每 一 个 明文 区 块 皆 使 用 同一 把 密 钥 来 加 密 或 解密 , 且 加 密 或 解密 每 一 个 区 块 的 动作 是 
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彼此 独立 的 , 亦 即 相 同 的 明文 区 块 经 过 DES 加 密 后 所 产生 的 密 文 区 块 亦 会 相同 ,如 图 4-8 
所 示 。 


第 1 次 第 2 次 第 N 次 
户 Pp Py 
DES DES ON DES 
K 一 | 加 密 人 “| 加 密 k 加 密 
| 
CI Ca Cy 
(a) 加 密 
CI G Cy 
| | | 
DES DES P= DES 
人 “| 钥 “| 解密 Se 解密 
1 
Pp Pp, Py 
(b) 解密 
图 4-8 ECB 模式 


ECB 在 用 于 短 数据 (如 加 密 密 钥 ) 时 非常 理想 ,因此 如 果 需 要 安全 地 传递 DES 密 钥 ， 
ECB 是 最 合适 的 模式 。ECB 的 最 大 特性 是 同一 明文 分 组 在 消息 中 重复 出 现 的 话 ,产生 的 密 
文 分 组 也 相同 。 

ECB 用 于 长 消息 时 可 能 不 够 安全 ,如 果 消 息 有 固定 结构 ,密码 分 析 者 有 可 能 找 出 这 种 
关系 。 例 如 ,已 知 消息 总 是 以 某 个 预定 义 字段 开始 的 ,那么 分 析 者 就 可 能 得 到 很 多 明文 密 文 
对 。 如 果 消 息 有 重复 的 元 素 而 重复 的 周期 是 64 的 倍数 ,那么 密码 分 析 者 就 能 够 识别 这 些 元 
素 。 以 上 这 些 特性 都 有 助 于 密码 分 析 者 ,有 可 能 为 其 提供 对 分 组 的 代 换 或 重 排 的 机 会 。 


2. CBC 模式 


利用 链接 特性 加 强 区 块 彼 此 的 关系 是 相依 的 而 非 独 立 的 。 加 密 每 一 数据 区 块 前 ,该 数 
据 区 块 必须 先 与 前 一 次 所 产生 的 密 文 区 块 进行 异 或 运算 ,之 后 再 利用 DES 加 密 该 异 或 结 
果 。 解 密 时 , 先 针对 每 一 区 块 密 文 做 DES 解密 动作 ,之 后 再 与 前 一 个 密 文 区 块 进 行 异 或 运 
算 , 此 模式 如 图 4-9 所 示 。 由 于 CBC 模式 的 链接 机 制 ,CBC 模式 对 加 密 长 于 64 比特 的 消息 
非常 合适 。 

3. CFB 模式 


加 密 每 一 数据 区 块 时 ,必须 先 针对 前 一 个 所 产生 的 密 文 区 块 ( 当 加 密 第 一 个 资料 区 块 
时 , 则 为 初始 值 IV) 进 行 DES 加 密 , 之 后 再 与 数据 区 块 进行 异 或 运算 便 可 获得 此 区 块 的 密 
文 。 反 之 ,解密 时 亦 必须 先 针 对 前 一 个 密 文 区 块 ( 当 加 密 第 一 个 资料 区 块 时 , 则 为 初始 值 
IV) 进 行 DES 解密 ,之 后 再 与 欲 解 密 的 密 文 区 块 进 行 异 或 运算 , 便 可 恢复 此 区 块 的 明文 ,此 
模式 如 图 4-10 所 示 。 


4-9 ”CBC 模式 
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Cu-i 
IV ( 移 位 寄存 器 ) -= 1 si 1 
64-j 比 特 | j 比 特 64-j 比 特 | /比特 [est 特 /tt 特 
二 hs hs 
《一 | 加 密 《一 | 加 密 5 加 密 
4% 1 


选 j 比 特 | 丢弃 64-j 比 特 


选 /比特 | 丢弃 64-j 比 特 


… [ 选 /比特 | 丢弃 64-/ 比 特 


J Sy 
2 一 Cl 


t t 
局 Pp, Pu 
(a) 加 密 
Cu 
1V ( 移 位 寄存 器 ) 一 -一 1 
64-j 比 特 | /比特 64-j 比 特 | j 比 特 | 64 比特 | 此 特 
4 
一 | 解密 《一 | 解密 《一 | 解密 
4 1 1 


选 j 比 特 | 丢弃 64-j 比 特 


选 /比特 | 丢弃 64-/ 比 特 


-| 选 /比特 [丢弃 64-7 比 特 


站 


Pi 


P, 


(b) 解密 
图 4-10 ”CFB 模式 


Cu 
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4. OFB 模式 


欲 加 密 每 一 数据 区 块 时 ,必须 先 针 对 前 一 个 加 密 动 作 所 使 用 的 DES 输出 值 ( 当 加 密 第 
一 个 数据 区 块 时 , 则 为 初始 值 IV) 进 行 DES 运算 以 产生 一 个 输出 值 ,该 值 再 与 此 和 欲 加 密 的 
数据 区 块 进行 异 或 运算 , 便 可 获得 此 区 块 的 密 文 。 反 之 ,解密 时 亦 必须 先 针对 前 一 个 解密 动 
作 所 使 用 的 DES 输出 值 ( 当 解 密 第 一 个 数据 区 块 时 , 则 为 初始 值 IV) 进 行 DES 运算 以 得 到 
一 个 输出 值 ,该 值 再 与 欲 解密 的 密 文 区 块 进行 异 或 运算 以 恢复 此 区 块 的 明文 ,如 图 4-11 所 
示 。OFB 与 CFB 运作 模式 相当 类 似 ,差别 在 于 异 或 运算 的 数据 有 所 不 同 。 就 信息 网 络 观 
点 而 言 ,OFB 模式 优 于 CFB 模式 在 于 错误 的 位 不 会 影响 其 他 加 密 或 解密 的 结果 。 就 信息 
安全 观点 而 言 ,OFB 模式 比 CFB 模式 易 受 修改 攻击 。 


6 
TV ( 移 位 寄存 器 ) 1 三 1 
64 才 比特 | /比特 64Jj 比 特 | /比特 64-j 比 特 | /比特 
让 
《一 | 加密 《一 “| 加密 《一 | 加密 
i 1 
选 /比特 | 丢弃 64-/ 比 特 ] 。[ 选 /比特 [丢弃 6 比特 ] … |[ 选 / 比 特 | 丢弃 64-/ 比特 


© -站 -oa 6 


1 人 
Pn 户 Py 
(a) 加 密 
_ Cu 

IV ( 移 位 寄存 器 ) = 一 一 1 1 

64-j 比 特 ”| /比特 64--/ 比 特 /比特 64-j 比 特 | /比特 
pp DES 罗 DES p DES 
和 匀 密 《一 | 解密 人 一 | 解密 

1 1 1 

选 /比特 | 丢 蛮 64-/ 比特 选 /比特 | 丢 齐 64-j 比 特 | … | 选 / 比特 | 丢弃 64-/ 比 特 


n, P, Py 
(b) 解密 


图 4-11 OFB 模式 


人 5 DES 密码 分 析 


DES 的 加 密 单位 仅 有 64 位 二 进 制 ,而 且 其 中 某 些 位 还 要 用 于 奇偶 校 验 或 其 他 通信 开 
销 , 有 效 密 钥 只 有 56 位 ,这 种 特性 必然 降低 了 密码 体制 的 安全 性 。 因 此 ,人 们 会 对 56 位 密 
钥 的 安全 性 产生 质疑 ,那么 56 位 密 钥 是 否 足够 ,已 成 为 人 们 争论 的 焦点 之 一 。 

在 DES 算法 中 存在 12 个 半 弱 密 钥 和 4 个 弱 密 钥 。 由 于 在 子 密 钥 的 产生 过 程 中 , 密 钥 
被 分 成 了 两 个 部 分 ,如 果 这 两 个 部 分 分 成 了 全 0 或 全 1 ,那么 每 轮 产生 的 子 密 钥 都 是 相同 
的 , 当 密 钥 是 全 0 或 全 1 ,或 者 一 半 是 1 或 0 时 ,就 会 产生 弱 密 钥 或 半 弱 密 钥 ,DES 算法 的 安 
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全 性 就 会 变 弱 。 在 设 定 密 钥 时 应 避免 弱 密 钥 或 半 弱 密 钥 的 出 现 。 
4.5.1 密码 分 析 方 法 


虽然 已 发 表 的 针对 DES 的 密码 分 析 的 研究 文章 多 于 所 有 其 他 的 分 组 密码 ,到 目前 为 
止 , 最 实用 的 攻击 方法 仍然 是 暴力 攻击 。 已 知 DES 有 一 些 次 要 的 可 能 导致 加 密 强 度 降 低 的 
密码 学 特性 ,同时 有 三 种 理论 攻击 的 理论 复杂 性 小 于 暴力 破解 ,但 需要 不 现实 的 已 知 明文 或 
选择 明文 数量 ,并 无 实用 价值 。 

对 于 一 切 密码 而 言 ,最 基本 的 攻击 方法 是 暴力 破解 法 , 即 依次 尝试 所 有 可 能 的 密 钥 。 密 
钥 长 度 决定 了 可 能 的 密 钥 数 量 , 因 此 也 决定 了 这 种 方法 的 可 行 性 。 对 于 DES, 即 使 在 它 成 
为 标准 之 前 就 有 一 些 关 于 其 密 钥 长 度 的 适当 性 问题 ,而 且 也 正 是 它 的 密 钥 长 度 , 而 不 是 理论 
密码 分 析 迫 使 它 被 后 续 算 法 所 蔡 代 。 在 设计 时 ,在 与 包括 NSA 在 内 的 外 部 顾问 讨论 后 , 密 
钥 长 度 被 从 128 位 减少 到 了 56 位 以 适应 在 单 芯 片上 实现 算法 。 

在 学 术 上 , 曾 有 数 个 DES 破解 器 被 提出 。1977 年 , 迪 非 和 海尔 曼 提出 了 一 部 造价 约 2 
千 万 美元 的 破解 器 ,可 以 在 一 天 内 找到 一 个 DES 密 钥 。1993 年 ,迈克 尔 。 维 纳 设计 了 一 前 
造价 约 1 百 万 美元 的 破解 器 ,大 约 可 以 在 7 小 时 内 找到 一 个 密 钥 。 然 而 ,这 些 早期 的 设计 并 
没有 被 实现 ,至 少 没 有 公开 地 实现 。 在 20 世纪 90 年 代 晚 期 ,DES 开始 受到 实用 性 的 攻击 。 
1997 年 ,RSA 安全 赞助 了 一 系列 竞赛 ,奖励 第 一 个 成 功 破解 以 DES 加 密 的 信息 的 队伍 1 万 
美元 ,洛克 ，。 韦 尔 谢 什 (Rocke Verser) 、 马 特 。 柯 廷 (Matt Curtin) 和 贾 斯 廷 。 多 尔 斯 基 
(Justin Dolske) 领 导 的 DESCHALL 计划 获胜 ,该 计划 使 用 了 数 千 台 连接 到 互联 网 的 计算 
机 的 闲置 计算 能 力 。1998 年 ,电子 前 哨 基 金 会 (EFF ,一 个 信息 人 权 组 织 ) 制 造 了 一 台 DES 
破解 器 ,造价 约 25 万 美元 ,如 图 4-12 所 示 。 该 破解 器 包括 1856 个 自 定义 芯片 ,可 以 用 稍 多 
于 2 天 的 时 间 暴 力 破 解 一 个 密 钥 , 它 显示 了 迅速 破解 DES 的 可 能 性 。EFF 的 动力 来 自 于 向 
大 众 显示 DES 不 仅 在 理论 上 ,在 使 用 上 也 是 可 破解 的 。 


图 4-12 价值 250 000 美元 的 DES 破解 器 


下 一 个 确认 的 DES 破解 器 是 2006 年 由 德国 的 鲁 尔 大 学 与 基 尔 大 学 的 工作 组 建造 的 
COPACOBANA,. 与 EFF 的 不 同 ,COPACOBANA 由 商业 上 可 获得 的 ,可 重 配 置 的 FPGA 
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组 成 。120 片 并 行 的 XILINX Spartan3-1000 型 FPGA 分 为 20 个 DIMM 模块 ,每 个 模块 包 
括 6 个 FPGA。 使 用 可 重 配置 的 FPGA 使 得 这 种 设备 也 可 以 用 于 其 他 密码 的 破解 。 另 外 
一 个 关于 COPACOBANA 的 有 趣事 实 是 它 的 成 本 。 一 台 COPACOBANA 的 造价 大 约 是 1 
万 美元 ,是 EFF 设备 的 25 分 之 一 ,这 充分 说 明了 数字 电路 的 持续 进步 。 考 虑 到 通货 膨胀 因 
素 , 同 样 价格 的 设备 的 性 能 在 8 年 间 大 约 提 到 了 原来 的 30 倍 。2007 年 ,COPACOBANA 的 
两 个 项 目 参 与 者 组 建 的 SciEngines 公司 改进 了 COPACOBANA, 并 发 展 了 它 的 下 一 代 。 
2008 年 ,他 们 的 COPACOBANA RIVYERA 将 破解 DES 的 时 间 减 少 到 了 1 天 以 内 ,使 用 
128 片 Spartan-3 5000 型 FPGA。 目 前 SciEngines 的 RIVYEAR 保持 着 使 用 暴力 破解 法 破 
解 DES 的 纪录 。 

有 三 种 已 知 方法 可 以 用 小 于 暴力 破解 的 复杂 性 ,去 破解 DES 的 全 部 16 回 次 : 微分 密 
码 分 析 (DC) 、 线 性 密码 分 析 (LC) 以 及 戴 维 斯 攻击 。 然 而 ,这 些 攻击 都 是 理论 性 的 ,难以 用 
于 实践 ; 它们 有 时 被 归结 于 认证 的 弱点 。 


1. 微分 密码 分 析 


在 20 世纪 80 年 代 晚 期 由 艾 力 ， 毕 汉 姆 和 阿迪 。 萨 莫 尔 重新 发 现 ; 20 世纪 70 年 代 
IBM 和 NSA 便 发 现 了 这 种 方法 ,但 没有 公开 。 为 了 破解 全 部 16 回 次 ,微分 密码 分 析 需 要 
2 组 选择 明文 。DES 被 设计 为 对 DC 具有 抵抗 性 。 


2. 线性 密码 分 析 


由 松井 充 (Mitsuru Matsui) 发 现 , 需 要 23 组 已 知 明文 ; 该 方法 已 被 实现 ,是 第 一 种 公开 
的 实验 性 的 针对 DES 的 密码 分 析 。 没 有 证 据 显 示 DES 的 设计 可 以 抵抗 这 种 攻击 方法 。 一 
般 概念 上 的 LC 一 一 "多 线性 密码 分 析 ” 一 一 在 1994 年 由 Kaliski 和 Robshaw 所 建议 ,并 由 
比 留 科 夫 等 人 于 2004 年 所 改进 。 线 性 密码 分 析 的 选择 明文 变种 是 一 种 类 似 的 减少 数据 复 
杂 性 的 方法 。 帕 斯 卡尔 。 朱 诺 德 (Pascal Junod) 在 2001 年 进行 了 一 些 确定 线性 密码 分 析 的 
实际 时 间 复 杂 性 的 实验 ,结果 显示 它 比 预期 的 要 快 , 需 要 约 2 一 2 次 操作 。 


3. 改进 的 戴 维 斯 攻击 


线性 和 微分 密码 分 析 是 针对 很 多 算法 的 通用 技术 ,而 戴 维 斯 攻击 是 一 种 针对 DES 的 特 
别 技术 ,在 20 世纪 80 年 代 由 上 唐纳德. 戴 维 斯 (Donald Davies) 首 先 提出 ,并 于 1997 年 为 毕 
汉 姆 和 亚 历 克 斯 。 比 留 科 夫 (Alex Biryukov) 所 改进 。 其 最 有 效 的 攻击 形式 需要 2” 组 已 知 
明文 ,计算 复杂 性 也 为 2”, 成 功率 为 51%。 

也 有 一 些 其 他 的 针对 削减 了 回 次 的 密码 版 本 , 即 少 于 16 回 次 的 DES 版 本 。 这 些 攻击 
显示 了 多 少 回 次 是 安全 所 需 的 ,以 及 完整 版 本 拥有 多 少 “ 安 全 余 量 ”。 微 分 线性 密码 分 析 于 
1994 年 为 兰 福 德 (Langford) 和 海尔 曼 所 提出 ,是 一 种 组 合 了 微分 和 线性 密码 分 析 的 方法 。 
一 种 增强 的 微分 线性 密码 分 析 版 本 可 以 利用 2“ 组 已 知 明文 以 2*”? 的 时 间 复 杂 性 破解 9 回 
次 的 DES。 

接 下 来 以 线性 密码 分 析 为 例 进行 说 明 。 
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4.5.2 线性 密码 分 析 


线性 分 析 的 分 析 者 利用 了 包含 明文 、 密 文 和 子 密 钥 的 线性 表达 式 进行 分 析 。 

线性 分 析 前 提 : 假设 攻击 者 已 经 知道 了 大 量 的 明文 和 相对 应 的 密 文 。 

线性 分 析 最 基本 的 思想 就 是 用 一 个 线性 表达 式 来 近似 表示 加 密 算 法 的 一 部 分 ,该 线性 
表达 式 是 关于 模 2 的 操作 (用 四 表示 XOR 操作 ) 。 表 达 式 具有 以 下 的 形式 : 

Xa DB Xz DO DX OX OXrD…DX, 王波 

该 表达 式 是 u 比特 的 输入 与 v 比特 的 输出 进行 XOR 操作 的 结果 。 

线性 密码 分 析 的 方法 就 是 测定 上 述 形式 的 线性 表达 式 发 生 的 可 能 性 的 大 小 。 

如 果 一 个 密码 算法 使 得 等 式 成 立 的 可 能 性 非常 大 或 者 非常 小 ,这 说 明 该 密码 算法 的 随 
机 性 比较 差 。 一 般 情况 下 ,假如 随机 选择 4 十 v 个 比特 值 ,并 且 将 它们 代入 等 式 , 等 式 成 立 的 
可 能 性 应 该 为 1/2。 在 线性 密码 分 析 中 ,一 个 线性 表达 式 成 立 的 可 能 性 与 1/2 之 间 的 差 值 
定义 为 偏 移 量 (或 偏差 ) 。 一 个 线性 表达 式 成 立 的 可 能 性 与 1/2 的 距离 越 大 ,密码 分 析 者 利 
用 线性 密码 分 析 就 越 有 效果 。 如 果 对 于 随机 选择 的 明文 找到 相应 的 密 文 , 使 得 上 述 表 达 式 
成 立 的 可 能 性 为 PL, 则 线性 可 能 性 偏 移 量 是 PL 一 1/2。 线 性 可 能 性 偏 移 量 的 绝对 值 
|PL 一 1/2| 越 大 ,线性 密码 分 析 对 于 知道 较 少 明文 情况 下 的 攻击 越 有 效 。 

考虑 两 个 二 进 制 变量 Xi ,X,。 通 过 计算 简单 的 关系 开始 : 

Xi Xs 二 0 是 一 个 线性 表达 式 ,等 价 于 Xi 二 X,; 

Xi X: 二 1 是 一 个 仿 射 表达 式 , 等 价 于 Xi 天 X， 。 

给 出 以 下 的 概率 分 布 : 


ji 
Pits ， 
1 一 加 i=1 
人 
= 二 ly 
1—p: i=1 
如 果 两 个 随机 变量 相互 独立 , 则 
pip: i=0,j=0 
位 一 高 i =0,j=1 
2 0, EE EE ai 2 
(1 — pi) ps i=1,j=0 
(1—p)d—p) i=1,j=1 


可 以 等 价 表示 为 
Pr(X 四 和 = 0 )= Pr(X, = X,) 
= PrCX = 0,X, 一 0) 十 PrCX = 1,X, = 1) 
= pps (Cop) (mp:) 
另 一 种 表示 方法 是 : 
邻 pi 二 1/2 十 &1 ,加 一 1/2 十 ez ,sl\e* 是 线性 可 能 性 偏 移 量 ,而 且 一 1/2 生 es,e 委 1/2。 
因此 ,Pr(CX 四 X,==0 ) 王 1/2 十 2eies ,并 且 X1 名 Xs 二 0 的 线性 偏 移 量 es,: 为 2e1e; 。 
扩展 到 多 个 随机 二 进 制 变量 的 情况 : 
车 有 随机 变量 Xi … X, 且 概 率 为 pi 二 1/2 十 @1 ,ps 二 1/2 十 ez，…, pr 二 1/2 十 6,。 则 
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Pr(X 申 XD-…®D X,=0 )=1/2++2eeze, 。 

Piling-Up 引 理 ”对 于 7 个 相互 独立 的 二 进 制 随机 变量 ,Xi ,Xs ,…,X,, 可 得 

Pr(X MX,= 0)= 1/2+2" Te 
或 者 等 价 表示 为 
Pr(CX ® X; DB *… OX, =0) = 1/2+2"!eee, 

其 中 ,el ez \.e 表 示 Xi 中 XX: 四 … 中 X= 二 0 的 线性 偏 移 量 。 

举例 说 明 。 

有 4 个 相互 独立 的 随机 变量 Xi ,X: ,Xs 和 X4 。 

Pr(CX, 中 X,=0)=1/2+e,: 

Pr(CXs 申 Xs: 一 0) 一 1/2 十 ezs 

Pr(X 四 X,=0)=Pr([X,® X, JOLX.® Xs]=0) 

应 用 Piling-Up 引 理 可 得 

Pr(X, DBX,=0)=1/2+2e1,2€2,3 

相应 地 ,e1,s 二 2e1,2z€2,3 。 

下 面 针对 DES 算法 进行 攻击 性 分 析 。 汤 范 为 为 

在 更 详细 地 讨论 攻击 细节 之 前 ,首先 需要 知道 S-box 盒 的 线 
性 脆弱 性 。S-box 的 输入 为 入 二 [XX X; Xj], 相应 的 输出 为 Re 
Y==[Yi Ys Ys Yi] ,如 图 4-13 所 示 。 

根据 对 S-box 的 线性 近似 采样 ,对 于 16 种 可 能 的 输入 X 和 
其 相应 的 输出 Y, 有 12 种 情况 可 以 使 得 Xs 申 X 申 六 由 Y 由 
到 一 0 或 等 价 形式 X 四 X 一 页 四 Y 四 到 成 立 , 因 此 线性 可 能 
性 偏 移 量 是 12/16 一 1/2 一 1/4。 

相似 地 ,对 于 等 式 Xi 外 X, 二 Y, ,其 线性 可 能 性 偏 移 量 接近 
于 0, 而 等 式 X; 中 X 二 六, 的 线性 可 能 性 偏 移 量 是 2/16 一 1/2 二 一 3/8。 

S-box 线性 近似 采样 如 表 4-10 所 示 。 


表 4-10 S-box 线性 近似 采样 


hh 
图 4-13 S-box 的 输入 
和 输出 


和 bbyY XOX YY XDX YOY, 
0 0 0 0 1 1 1 0 0 0 0 1 0 1 
0 0 0 ， 0 1 0 0 0 0 1 1 0 
| 1 0 0 1 0 
0 1 | 1 0 0 1 
0 1 0 0 0 0 1 0 委 1 0 0 0 0 
人 下 .和 1 1 1 0 
入 0 1 0 0 1 0 
人 0 1 1 0 0 1 
1 0 0 0 0 0 1 时 0 0 1 0 0 1 
和 0 0 1 1 0 1 0 0 0 0 0 1 1 
四 1 1 1 1 1 0 
We 1 0 1 0 i 
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续 表 
XK XX XX YY YY YY YY XOX YOYOY, XODX 交 X DX YOY, 
i 1 6@ © 0 1 © 1 1 1 1 0 1 
TF 1 0 0 0 1 0 
四 有 0 0 1 0 1 0 
和 0 2 i | 0 0 0 1 0 1 


例如 ,一 个 输入 变量 的 线性 近似 表达 式 a1* Xi 四 as， 和 由 oa， XX 中 a4*X4, 其 中 ， 
ai€E {0,1}。“。” 为 二 进 制 的 “与 "运算 ,输入 行 的 十 六 进 制 的 值 是 a as os a4 的 组 合 。 

相似 地 ,对 于 一 个 输出 变量 的 线性 近似 表达 式 bY 中 b,*Y: 中 5 YD"Y, 其 
中 ,6E {0,1), 输 出行 的 十 六 进 制 的 值 是 6566 的 组 合 。 

其 中 ,Input 表示 表达 式 的 输入 系数 ,而 output 表示 表达 式 的 输出 系数 , 行 和 列 交集 处 
的 值 表示 以 此 行列 值 代表 线性 表达 式 成 立 的 数量 减 去 8, 线 性 近似 偏 移 量 如 表 4-11 所 示 。 

表 4-11 线性 近似 偏 移 量 
Output 


0 1 2 3 4 5 6 7 8 9 A B C D 
十 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 
覆 直 一 中 一 妥 0 0 | 一 2 | 十 6 | 十 2 | 十 2 0 0 | 十 2 | 十 2 0 0 
lt 0 | 二 和 | 二 多 0 0 | 十 2 | 十 2 0 0 | 一 6 | 十 2 
0 0 0 0 0 0 你 | 寺 2 | 一 全 | 三 全 | 一 全 | 二 全 | 十 胃 | 一 和 | 一 和 


Input 


ololololololololololoclocolololo 
© 
o 
© 
© 


HImiololwly>lolol~siolalalwlvl-lo 


如 线性 表达 式 X: 四 X, 二 了 中 Y, (输入 行 标 是 3, 输 出 列 标 是 9) , 表 中 值 一 6, 代 表 线 性 
表达 式 成 立 的 数量 为 2 次 。 


人 6 高 级 加 密 标准 


4.6.1 AES 概述 
DES 作为 密码 学 上 的 一 个 里 程 碑 , 尽 管 在 安全 上 是 脆弱 的 ,但 由 于 快速 DES 芯片 的 大 
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量 生产 ,使 得 DES 仍 能 暂时 继续 使 用 ,为 提高 安全 强度 ,通常 使 用 独立 密 钥 的 三 级 DES, 同 
时 急需 一 种 新 的 密码 体制 来 代替 DES。 
NIST 于 1997 年 4 月 正式 公告 下 一 代 加 密 标准 (Advanced Encryption Standard,AES) 


的 征 选 。 制 定 AES 的 主要 目标 是 确保 数据 可 达到 100 年 的 安全 性 , 即 加 密 后 的 密 文 在 100 


年 内 不 会 被 破解 ,因此 安全 性 与 运算 效率 皆 须 在 Triple-DES 之 上 ,NIST 亦 规划 在 未 来 的 
30 年 内 将 逐渐 推广 政府 及 民间 企业 间 通 用 的 资料 加 密 标准 由 DES 更 换 为 AES。 在 经 过 三 


个 回合 的 技术 分 析 会 


议 后 ( 表 4-12 为 AES 在 发 展期 间 的 重大 纪事 ), 从 15 个 候选 算法 中 


( 表 4-13 与 表 4-14 分 别 为 AES 在 第 一 回合 15 个 候选 算法 的 基本 数据 与 比较 ) ,于 2000 年 
10 月 2 日 公开 选 定 由 比利时 J， Daemen 与 V， Rijmen 两 位 学 者 所 设计 的 Rijndael 算法 为 


AES 所 用 。 
表 4-12 AES 的 历史 
时 间 事 件 
1997 年 7 月 公告 AES 之 征 选 


1998 年 4 月 15 日 
1998 年 7 月 15 日 
1998 年 8 月 20~22 日 
1999 年 3 月 22 一 23 日 


1999 年 4 月 15 日 


2000 年 8 月 13~14 日 
2000 年 5 月 15 日 
2000 年 10 月 2 日 
2000 年 11 月 

2001 年 2 月 28 日 
2001 年 11 月 26 日 


开始 接受 AES 候选 算法 

结束 接受 AES 候选 算法 

开始 15 个 AES 候选 算法 第 一 回合 的 技术 分 析 

举行 AES 第 二 次 会 议 

结束 AES 第 一 回合 的 技术 分 析 ,并 选 出 5 个 第 二 回合 的 技术 分 析 候 选 算法 : 
MARS. RC6 、Rijndael Serpent 及 Twofish 

结束 第 二 回合 的 技术 分 析 

发 表 5 个 候选 算法 的 公开 评论 与 分 析 

公开 选 定 Rijndael 为 AES 所 采用 

公布 Rijndael 为 AES FIPS 草案 ,并 接受 90 天 的 公开 评论 

公布 对 Rijndael 的 公开 评论 并 开始 修正 草案 

公告 FIPS PUB 197, 正 式 成 为 官方 新 一 代 通 行 的 加 密 标 准 ,并 完成 相关 测试 


表 4-13 15 个 AES 候选 算法 


算 法 提案 人 或 公司 国 家 
CAST-256 Entrust Inc. Canada 
Crypton Future System Inc. Korea 
Deal Richard Outerbridge, Lars Knudsem Canada 
DFC CNRS-Centre National pour la Recherche Scientifique France 
E2 NTT Japan 
Frog TecApro International S. A. Costa Rica 
HPC Rich Schroeppel USA 
LOKI97 Lawrie Brown,Josef Pieprzyk, Jennifer Seberry Australia 
Megenta Deutsche Telekom Germany 
Mars IBM USA 
RC6 RSA USA 
Rijndael Joan Deamen, Vincent Rijmen Belgium 
Safer 十 Cylink Corp. USA 
Serpent Ross Anderson, Eli Biham,Lars Knudsen UK ,Israel, Norway 
Twofish Counterpane USA 


表 4-14 NIST 对 AES 之 15 个 候选 算法 比较 
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算 法 区 块 长 度 / 位 密 钥 长 度 /位 结 构 回合 数 最 小 回合 数 
CAST-256 128 128 一 256 Ext. Feistel Network 48 40 
Crypton 128 256 Square 驴 i 
Deal 128 128,192,256 Feistel Network 6,8,8 10 
DFC 128 256 Feistel Network 8 8 
E2 128 128,192,256 Feistel Network 12 10 
Frog 64 一 1024 40 一 1000 Special 8 8 
HPC Any Any Omni 8 8 
LOKI97 128 128,192,256 Feistel Network 16 38 
Megenta 128 128 Feistel Network 6,8,8 
Mars 128 128 一 1248 Ext. Feistel Network 32 20 
RC6 128 256 Feistel Network 20 21 
Rijndael 128 ,192,256 128 ,192,256 Square 10,12,16 8 
Safer 十 128 128,192,256 SP Network 8,12,16 ? 
Serpent 128 256 SP Network 32 17 
Twofish 128 128,192,256 Feistel Network 16 14 


Rijndael 算法 除 具备 低 成 本 ,高 安全 性 特性 外 ,最 大 的 优点 在 于 即使 在 受 限 的 工作 环境 
下 ,如 较 小 的 内 存 空 间 中 , 仍 有 很 好 的 加 解密 运算 效率 ; 而 运算 子 的 设计 , 亦 容 易 抵 抗 完 全 搜 
寻 攻 击 ,如 此 便 能 保证 AES 可 有 和 较 长 的 安全 周期 。 在 经 过 一 连 串 的 公开 评论 与 测试 后 , NIST 
于 2001 年 11 年 26 日 发 布 FIPS PUB 197, 正 式 将 AES 定 为 美国 新 一 代 的 资料 加 密 标准 。 

AES 为 一 个 区 块 加 密 法 ,在 原先 Rijndael 的 设计 中 ,允许 可 变动 的 数据 区 块 及 密 钥 的 
长 度 , 且 数据 区 块 与 密 钥 长 度 的 变动 是 各 自 独立 的 , 密 钥 长 度 与 数据 长 度 有 128、192 及 256 
位 的 选择 ,而 运算 回合 数 由 密 钥 及 明文 (数据 区 块 ) 长 度 而 定 , 因 此 对 于 任何 系统 都 可 以 弹性 
地 运用 。 但 在 AES 标准 中 ,将 数据 (明文 / 密 文 ) 长 度 固 定 为 128 位 ,而 依 密 钥 长 度 不 同 
AES 可 分 为 AES-128、AES-192 以 及 AES-256 ,其 密 钥 长 度 ,数据 长 度 和 运算 回合 数 的 关系 


如 表 4-15 所 示 。 


表 4-15 AES 密 钥 长 度 、 数 据 长 度 与 运算 回合 数 对 照 表 


密 钥 长 度 (N words) 数据 长 度 (N， words) 运算 回合 数 (N,) 
AES-128 4 4 10 
AES-192 6 4 12 
AES-256 8 4 14 


4.6.2 AES 中 的 数学 基础 


定义 4-1 
一 个 群 。 
(1) 闭合 : 对 了 


F 所 有 G 中 的 cc 2, 运算 au 。 


5 的 结果 也 在 G 中 。 


设 G 为 非 空 集合 ,在 G 内 定义 了 一 种 代数 运算 , 若 满足 下 述 公 理 , 则 G 构成 


(2) 结合 律 : 对 于 所 有 G 中 的 < 和 ec, 等 式 (a 5)，c 二 a*(b。，c) 成 立 。 
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(3) 单位 元 : 存在 G 中 的 一 个 元 素 e, 使 得 对 于 所 有 G 中 的 元 素 a ,等 式 e a 二 =a， 
e 二 a 成 立 。 

(4) 道 元 : 对 于 每 个 G 中 的 a ,存在 G 中 的 一 个 元 素 使 得 a* 6 一 02。 a 二 e, 这 里 的 
是 单位 元 。 

若 群 G 满足 交换 律 , 则 称 群 G 为 交换 群 或 阿 贝 尔 群 。 

定义 4-2 非 空 集合 元 素 下 ,在 下 中 定义 了 加 和 乘 两 种 运算 , 若 满足 下 述 公理 , 则 称 下 
为 一 个 域 。 

(1) 下 关于 加 法 构成 阿 贝 尔 群 。 

(2) 正中 非 零 元 素 全 体 对 乘法 构成 阿 贝尔 群 ,其 乘法 恒 等 元 (单位 元 ) 记 为 1。 

(3) 加 法 和 乘法 间 的 分 配 律 : a(5 十 c) 二 ab 十 ac 和 (0 十 c)a 一 2a 十 ca。 

车 下 中 的 元 素 为 有 限 个 , 称 下 为 有 限 域 (Finite Field) 。 

定义 4-3 对 于 多 项 式 f(z), 设 它 的 次 数 为 ,表示 为 deg(/) 二 n。 对 于 多 项 式 (x)、 
8(ZX).h(z), 设 deg(g) 二 nn, 如 果 g(z) 二 q(z)f(z) 十 h(x), 其 中 deg (1h) 一 n, 则 可 定义 
8(z) 三 h(x) mod f(x) , 即 多 项 式 同 余 。 

定义 4-4 有 限 域 是 指 仅 含 有 限 多 个 元 素 的 域 。 

有 限 域 中 的 元 素 可 以 用 多 种 不 同 的 方式 表示 。 对 于 任意 素数 的 方 寡 , 都 有 唯一 的 一 个 
有 限 域 ,因此 GF(2) 的 所 有 表示 是 同 构 的 ,但 不 同 的 表示 方法 会 影响 到 GF(2*) 上 运算 的 复 
杂 度 。 

将 brb6bs04b3bsb1bo 构 成 的 字 节 5 看 成 系数 在 {10,1} 中 的 多 项 式 。 

bz 二 bor' 二 bez 十 bax 十 baz’ 十 box’: 十 biz 十 bo 
例如 : 十 六 进 制 数 57 对 应 的 二 进 制 为 01010111, 看 成 一 个 字 节 ,对 应 的 多 项 式 为 
ke te bel ee | 

在 多 项 式 表示 中 ,GF(2*) 上 两 个 元 素 的 和 仍然 是 一 个 次 数 不 超 过 7 的 多 项 式 ,其 系数 
等 于 两 个 元 素 对 应 系数 的 模 2 加 (比特 异 或 ) 。 

例如 ;57 十 83 二 D4, 用 多 项 式 表示 为 

(二 2 征用 十 了 十 (zr 十 二 1 二 十 w 廿 (iiod m(x)) 
用 二 进 制 表示 为 
01010111 十 10000011 = 11010100 

由 于 每 个 元 素 的 加 法 逆 元 等 于 自己 ,所 以 减法 和 加 法 相同 。 

要 计算 GF(2:) 上 的 乘法 ,必须 先 确 定 一 个 GF(2) 上 的 8 次 不 可 约 多 项 式 ; GF(28) 上 两 
个 元 素 的 乘积 就 是 这 两 个 多 项 式 的 模 乘 (以 这 个 8 次 不 可 约 多 项 式 为 模 )。 在 Rijndael 密码 
中 ,这 个 8 次 不 可 约 多 项 式 确 定 为 

m(x) = 二 x 十 x 十 x 十 zx 十 1 

它 的 十 六 进 制 表示 为 11B。 

例如 ,57。83 王 Cl 可 表示 为 以 下 的 多 项 式 乘法 : 

(x2 丰 2 丰 之 十 D(x? 十 十 让 三 十 型 丰 1( mod m(zx)) 
乘法 运算 虽然 不 是 标准 的 按 字 节 的 运算 ,但 也 是 比较 简单 的 计算 部 件 。 
AES 主要 是 使 用 GF(2* ) 作 为 字 节 阶层 运算 的 基础 架构 及 采用 4 字 节 的 字 组 运算 。 
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4 
4.6.3 AES 算法 


AES 的 原理 框图 如 图 4-14 所 示 。 算 法 主要 由 4 个 不 同 的 计算 部 件 组 成 ,分 别 是 字 节 代 
换 (ByteSub) , 行 移 位 (ShiftRow) 、 列 混合 (MixColumn) 、 密 钥 加 (AddRoundKey)。 


明文 密 钥 明文 
| | 
密 钥 加 一 一 一 w[0,3] 一 ”| 密 钥 加 
t 
字 节 代 换 反 字 节 代 换 
1 下 
行 移 位 反 行 移 位 
| 
列 混合 反 列 混合 
1 下 
密 钥 加 一 四 v[47] -一 | 密 钥 加 
[ 
反 字 节 代 换 
反 行 移 位 
字 节 代 换 
= = 
行 移 位 i 
列 混合 反 列 混合 
一 一 一 
1 
密 钥 加 -一 四 ww 3639] Oo 密 钥 加 
1 下 
字 节 代 换 反 字 节 代 换 
下 
一 
行 移 位 反 行 移 位 
下 
密 钥 加 [= w[4043] “上 一 一 密 钥 加 
下 
1 
密 文 密 文 


图 4-14 AES 的 原理 图 
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加 密 流 程 如 图 4-15 所 示 。 
明文 块 


子 密 钥 (0) 


子 密 钥 (Nr-1) 
子 密 钥 (1) | 
列 变换 | 
| 

行 移 变换 | ”| 第 Ni-! 轮 

f | 
ee 一 一 一 | 字 节 代 换 | | 
[ee 到 


图 4-15 加 密 流 程 


1. 字 节 代 换 


字 节 代 换 (ByteSub) 是 非 线形 变换 ,独立 地 对 状态 的 每 个 字 节 进 行 。 代 换 表 ( 即 S 盒 ， 
如 表 4-16 所 示 ) 是 可 逆 的 ,由 以 下 两 个 变换 的 合成 得 到 。 
首先 ,将 字 节 看 作 GF(28) 上 的 元 素 , 映 射 到 自己 的 乘法 逆 元 ,00 映射 到 自己 。 
表 4-16 S 盒 


~ 
mo lalolols lololvlolalalwivl-lo 
a 
只 
名 
名 
公 
Ss 
oo 
所 
Ro 
Ea 
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% 
ba 
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8 
豆 
EE 
[- 
名 
~ 
> 
己 
S 
中 
bg 
a 
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其 次 ,对 字 节 做 GF(2) 上 的 可 道 的 仿 射 变换 。 
Yo 1 ov 0 E EL I Yr 
1 0 
y2 111000 1 1|lz*:|lo 
| |I1111000 1|lz|o 
ys 111110 0 ollx llo 
ys oii1i111%0 ollz|l1 
ys oo TE ll 
yr 0 0@ 0 Yb Lr No 
字 节 代 换 的 示意 图 如 图 4-16 所 示 。 
aoo|aoi | ao03| ao3 [oo bo | bo2| bos 


SubBytes| 
aiolanilaral ars [SubByed 西 blbialbis 
一 


02.0|02.4 022 P23l 


葬 by b22 加 


430|03,1| 032N3,3| 


图 4-16 


2. 行 移 位 

行 移 位 (ShiftRow) 是 将 状态 阵列 的 各 
0 行 不 移动 ,第 1 行 循环 左 移 Ci 个 字 节 ,第 
节 。 位 移 量 C1 、C; .Cs 的 取 值 与 有关。 

按 指定 的 位 移 量 对 状态 的 行进 行 的 行 

图 4-17 是 行 移 位 示意 图 。 


No 
Change| “00 


Shift 1| wo 
和 


bso|byd [bs2[b3 


Ss 


字 节 代 换 示意 图 


行进 行 循环 移 位 ,不 同 状态 行 的 位 移 量 不 同 。 第 
2 行 循环 左 移 C: 个 字 节 ,第 3 行 循环 左 移 C: 个 字 


移 位 运算 记 为 ShiftRow。 


Go0 | ao1| ao2 | 403 


ShiftRows 
Gut | G12| G13| G10 


Shift ?| a 


Shift 3| oso | as31 | a32 | a 
3.0 | a31 | 032 | 033 


4-17 


3. 列 混合 


022 | 023| 020| 0241 


033 | 030| 03.41 | 032 


行 移 位 示意 图 


在 列 混合 (MixColumn) 变 换 中 ,将 状态 阵列 的 每 个 列 视 为 GF(2*) 上 的 多 项 式 , 再 与 一 


个 固定 的 多 项 式 c(z) 进 行 模 xz! 十 1 乘法 。 


当然 要 求 c(z) 是 模 zx! 十 1 可 逆 的 多 项 式 ,否则 列 


混合 变换 就 是 不 可 逆 的 ,因而 会 使 不 同 的 输入 分 组 对 应 的 输出 分 组 可 能 相同 。 图 4-18 是 列 


混合 示意 图 。 
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St 


ao po 
ao0 G02| ao3 boo bo | bos 
MixColumns 
a bi 
ao al2| a3 bio bi2 | bi 
ee 
mo) a | 02| 03 Do 
30 2 | 33 bo 


31 . 
® < 


4-18 列 混合 示意 图 


4. 密 钥 加 


密 钥 加 (AddRoundKey) 是 将 轮 密 钥 简单 地 与 状态 进行 逐 比 特异 或 。 轮 密 钥 由 种 子 密 
钥 通过 密 钥 编排 算法 得 到 , 轮 密 钥 长 度 等 于 分 组 长 度 N,。 图 4-19 是 密 钥 加 运算 示意 图 。 


aoo | ao | aoz | ao3 boo | ao 
—AddRoundKey 
ao| a | a2| aas bio| bi 
人 


0| @| oa ba0 | 加 


30 | a31 | 032 bo 


koo | ho | loa 


ko| ki | kz 


ko| 已 | ha 


ko | kT BB2T hs3 


图 4-19 密 钥 加 运算 示意 图 
状态 State 与 轮 密 钥 RoundKey 的 密 钥 加 运算 表示 为 


AddRoundKey (State, RoundKey) 


4.6.4 AES 算法 的 密 钥 编 排 


密 钥 编排 指 从 种 子 密 钥 得 到 轮 密 钥 的 过 程 , 它 由 密 钥 扩展 和 轮 密 钥 选取 两 部 分 组 成 ,其 
基本 原则 如 下 : 

轮 密 钥 的 比特 数 等 于 分 组 长 度 乘 以 轮 数 加 1; 

种 子 密 钥 被 扩展 成 为 扩展 密 钥 ; 

轮 密 钥 从 扩展 密 钥 中 取 , 其 中 第 1 轮 密 钥 取 扩展 密 钥 的 前 N, 个 字 , 第 2 轮 密 钥 取 接 下 
来 的 YY, 个 字 , 如 此 下 去 。 
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1. 密 钥 扩 展 


扩展 密 钥 是 以 4 字 节 字 为 元 素 的 一 维 阵列 ,表示 为 W[N,* (N, 十 1)], 其 中 前 N, 个 字 
取 为 种 子 密 钥 ,以 后 每 个 字 按 递归 方式 定义 。 扩 展 算法 根据 N; 二 6 和 Ne 之 6 有 所 不 同 。 
当 Nes6 时 ,扩展 算法 如 下 : 


KeyExpansion (byteKey[4 * Nk] ,W[Nb* (Nr+1)]) 
{ 
for (i =0; i< Nk; i++) 
W[i]= (Key[4 * i],Key[4* i +1],Key[4* i +2],Key[4* i +3] ); 
for (i =Nk; i<Nbx (Nr+1); i++) 
{ 
temp= W[i—1]; 
if (i% Nk= =0) 
temp = SubByte (RotByte (temp) )^Rcon[i /Nk]; 
W[i] = W[i— Nk]^ temp; 


} 


其 中 Key[L4 * Ni ] 为 种 子 密 钥 ,看 作 以 字 节 为 元 素 的 一 维 阵列 。 函 数 SubByte () 返 回 4 
字 节 字 , 其 中 每 一 个 字 节 都 是 用 Rijndael 的 S 盒 作 用 到 输入 字 对 应 的 字 节 得 到 的 。 函 数 
RotByte() 也 返回 4 字 节 字 , 该 字 由 输入 的 字 循 环 移 位 得 到 , 即 当 输入 字 为 (a,b,c,d) 时 , 输 
出 字 为 (b,c,d,a)。 
当 Nx>6 时 ,扩展 算法 如 下 : 
KeyExpansion (byte Key[4 * Nk] ,W[Nbx (Nr+1)]) 
{ 
for (i=0; i< Nk; i++) 
W[i]= (Key[4* i],Key[4* i +1],Key[4* i +2],Key[4* i +3] ); 
for (i =Nk; i<Nb*x (Nr+1); i++) 
{ 
temp= W[i —1]; 
if (i % Nk= =0) 
temp = SubByte (RotByte (temp) )^Rcon[i /Nk]; 
else if (i % Nk==4) 
temp = SubByte (temp); 
W[i] =W[i — Nk]^ temp; 


} 


Ne>6 与 Nes6 的 密 钥 扩展 算法 的 区 别 在 于 : 当 i 为 N; 的 4 的 倍数 时 , 须 先 将 前 一 个 
字 W[i 一 1] 经 过 SubByte 变换 。 
以 上 两 个 算法 中 ,Reon[i/Ni] 为 轮 常数 ,其 值 与 Nt 无 关 。 


2. 轮 密 钥 选取 


轮 密 钥 i( 即 第 i 个 轮 密 钥 ) 由 轮 密 钥 缓冲 字 W[N; x 可 一 克 LNs x (i 十 1)] 给 出 ,如 
图 4-20 所 示 。 
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| 机 | mW WwW | Ww | we Ww Ww | mW | mo 


Wi | W2 | Ws 


Round Key 0 Round Key 1 Round Key 2 


图 4-20 轮 密 钥 的 选取 


@.7 AES 密码 分 析 


针对 AES 的 比较 著名 的 攻击 是 旁 道 攻击 。 旁 道 攻击 不 攻击 密码 本 身 ,而 是 攻击 那些 实 
现 于 不 安全 系统 (会 在 不 经 意 间 泄漏 信息 ) 上 的 加 密 系统 。 美 国 国家 安全 局 审核 了 所 有 参与 
竞选 AES 的 最 终 人 围 者 (包括 Rijndael) ,认为 它们 均 能 够 满足 美国 政府 传递 非 机 密 文件 的 
安全 需要 。2003 年 6 月 ,美国 政府 宣布 AES 可 以 用 于 加 密 机 密 文件 : 

AES 加 密 算 法 (使 用 128、192 和 256 位 密 钥 的 版 本 ) 的 安全 性 ,在 设计 结构 及 密 钥 的 长 
度 上 俱 已 到 达 保 护 机 密 信息 的 标准 。 最 高 机 密 信息 的 传递 , 则 至 少 需 要 192 或 256 位 的 密 
钥 长 度 。 用 以 传递 国家 安全 信息 的 AES 实现 产品 ,必须 先 由 国家 安全 局 审核 认证 , 方 能 被 
发 放 使 用 。 

这 标志 着 ,由 美国 国家 安全 局 NSA 批准 在 最 高 机 密 信息 上 使 用 的 加 密 系统 首次 可 以 
被 公开 使 用 。 许 多 大 众 化 产品 只 使 用 128 位 密 钥 当 作 上 默认 值 ; 由 于 最 高 机 密 文件 的 加 密 系 
统 必须 保证 数 十 年 的 安全 性 , 故 推测 NSA 可 能 认为 128 位 太 短 , 才 以 更 长 的 密 钥 长 度 为 最 
高 机 密 的 加 密 保留 了 安全 空间 。 

通常 破解 一 个 区 块 加 密 系统 最 常见 的 方式 ,是 先 对 其 较 弱 版 本 (加 密 循环 次 数 较 少 ) 尝 
试 各 种 攻击 。AES 中 128 位 密 钥 版 本 有 10 个 加 密 循 环 ,192 位 密 钥 版 本 有 12 个 加 密 循环 ， 
256 位 密 钥 版 本 则 有 14 个 加 密 循 环 。 至 2006 年 为 止 ,最 著名 的 攻击 是 针对 AES 7 次 加 密 
循环 的 128 位 密 钥 版 本 ,8 次 加 密 循环 的 192 位 密 钥 版 本 ,和 9 次 加 密 循环 的 256 位 密 钥 版 
本 所 作 的 攻击 。 

由 于 已 遭 破解 的 弱 版 的 AES, 其 加 密 循环 数 和 原本 的 加 密 循环 数 相 差 无 几 , 有 些 密码 
学 家 开始 担心 AES 的 安全 性 : 要 是 有 人 能 将 该 著名 的 攻击 加 以 改进 ,这 个 区 块 加 密 系统 就 
会 被 破解 。 在 密码 学 的 意义 上 ,只 要 存在 一 个 方法 , 比 暴力 搜索 密 钥 还 要 更 有 效率 ,就 能 被 
视 为 一 种 “破解 ”>。 故 一 个 针对 AES 128 位 密 钥 的 攻击 车 “只 ”需要 2120 计算 复杂 度 ( 少 于 
暴力 搜索 法 2128) ,128 位 密 钥 的 AES 就 算 被 破解 了 ; 即便 该 方法 在 目前 还 不 实用 。 从 应 
用 的 角度 来 看 ,这 种 程度 的 破解 依然 太 不 切实 际 。 最 著名 的 暴力 攻击 法 是 distributed. net 
针对 64 位 密 钥 RC5 所 做 的 攻击 (该 攻击 在 2002 年 完成 。 根 据 摩尔 定律 ,到 2005 年 12 月 ， 
同样 的 攻击 应 该 可 以 破解 66 位 密 钥 的 RC5) 。 

其 他 的 争议 则 着 重 于 AES 的 数学 结构 。 不 像 其 他 区 块 加 密 系统 ,AES 具有 相当 井然 
有 序 的 代数 结构 。 虽 然 相关 的 代数 攻击 尚未 出 现 ,但 有 许多 学 者 认为 ,把 安全 性 建立 于 未 经 
透彻 研究 过 的 结构 上 是 有 风险 的 。Ferguson、Schroeppel 和 Whiting 因此 写 道 :“ 我 们 很 担 
心 Rijndael LAES] 算 法 应 用 在 机 密 系 统 上 的 安全 性 .” 
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2002 年 ,Nicolas Courtois 和 Josef Pieprzyk 发 表 名 为 XSL 攻击 的 理论 性 攻击 ,试图 展 
示 AES 一 个 潜在 的 弱点 。 但 几 位 密码 学 专家 发 现 该 攻击 的 数学 分 析 有 点 问题 ,推测 应 是 作 
者 的 计算 有 误 。 因 此 ,这 种 攻击 法 是 否 对 AES 奏效 , 仍 是 未 解 之 谜 。 就 现 阶 段 而 言 ,XSL 
攻击 AES 的 效果 不 十 分 显著 , 故 将 之 应 用 于 实际 情况 的 可 能 性 并 不 高 。 

接 下 来 讨论 一 下 线性 密码 分 析 方 法 : 现在 假设 有 一 个 攻击 者 拥有 大 量 的 用 同一 个 未 知 
密 钥 加 密 的 明 密 文 对 ,对 每 一 个 明 密 文 对 ,将 所 有 有 可 能 的 候选 密 钥 来 对 最 后 一 轮 解 密 密 
文 , 对 每 一 个 候选 密 钥 ,计算 包含 在 线性 关系 式 中 相关 状态 比特 的 异 或 值 ,然后 确定 上 述 的 
线性 关系 是 否 成 立 , 如 果 成 立 ,就 在 对 应 特定 候选 密 钥 的 计算 器 加 1。 


4.7.1 S 盒 的 输入 输出 分 析 
字 节 替换 操作 使 用 一 个 S 盒 对 State 的 每 个 字 节 都 进行 独立 的 蔡 换 。 它 用 于 将 输入 或 
中 间 态 的 每 一 个 字 节 通过 一 个 简单 的 查 表 操 作 将 其 映射 为 男 一 个 字 节 。 把 输入 字 节 的 高 4 
位 作为 S 盒 的 行 值 , 低 4 位 作为 列 值 ,然后 取出 S 盒 中 对 应 行 和 列 的 元 素 作为 输出 ,如 
表 4-17 所 示 。 
表 4-17 S 盒 蔡 换 表 


0 63 |7c|77|7b|F2|6b| 6f|c5|30|01|67|2b|fe|d7?|ab|76 
ca|l82|c9|7d|fal|s59 | 47 f0 |ad|d4|la2|af|9c|a4l|l72|c0 
2 b7 | fd|93|26 |36 | 3f {7 cc | 34 | a5 | e5 fl 71 | d8 |31 |15 
3 04 | c7 | 23 | ec3 18 | 96 | 05 | 9a | 07|12|80|e2|eb|27 |b2 |75 
4 09|183|2c|1al|llb|6e|5a|la0|52|3b|d6|b3|29 | e3 2f | 84 
5 53 |dl |oo |ed | 20 fc |bl|5b|6a|cb| be|39 | 4a|l4c | 58 | cf 
6 d0|ef|laa|lfb|43|4d|33|85|45|f9 | 02 7f | 50 | 3 | 9f |a8 
XxX 7 51 | a3 | 40 | 8f | 92 | 9d |38|f5 bc | b6 |dal|l21|10 ff f3 | d2 
8 cd | 0c | 13 | ee 5f | 97 | 44|17|c4|a7|l?7e|3d|64|5d|19|73 
9 60 |81|4f|d|22|2a|90|88|46|ee|b8|14|de|5e|ob|db 
a e0|32|3a|o0a|49|06|24|5c|c2|d3|ac |62|91|95 |e4|79 
b |e?7|c8|37|6d|8d|d5|4e|a9 | 6c|56|f4|ea|65|7a|ae |08 
c |ba|l?78|25|2e|1lc|a6|b4|c |e8|dd|l74|1f|4b|bd|8b| 8a 
d 70 |3e|b5|66 |48|03|f6|0e|61|35|57|b9|86 |cl |1d| 9e 
e |El|f8|98|11|69|d9| 8e|94|9b|1e| 87|e | ce | 55 | 28 | df 
* 8c |al|89|0d|bf|e6|42|68|41|99|2d| of |bo|54|bb|16 
与 DES 的 S 盒 相 比较 ,AES 的 S 盒 能 进行 代数 上 的 定义 ,而 不 像 DES 的 S 盒 那样 “ 随 
机 代 换 ”。 
S 盒 的 构造 方式 如 下 : 


行 x 和 列 y 的 字 节 值 初始 化 成 十 六 进 制 的 {zy)。 

把 S 盒 中 的 每 个 字 节 映射 为 在 有 限 域 GF(2) 中 的 逆 ; {00} 不 变 。 

把 S 盒 中 的 每 个 字 节 转换 为 二 进 制 表示 的 ( 刀 ,bs ,5s ,2 ,0 ,0 0) ,然后 进行 仿 射 
变换 。 
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AES 采用 有 限 域 GF(2*) 上 的 字 节 运算 。 

由 于 S 盒 是 AES 算法 中 唯一 的 非 线性 部 分 ,所 以 对 AES 的 S 盒 的 输入 输出 进行 彻底 
的 分 析 , 具 体 方法 如 下 : 

让 S 的 输入 为 (aoaiazasasasasar),S 盒 对 应 的 输出 为 (bob10;6;04bs0601), 然 后 穷 举 S 
盒 可 能 的 所 有 输入 , 即 (ooaiasasaisasasay) 一 (00000000~11111111) ,给 出 所 有 对 应 的 输出 ， 
如 表 4-18 所 示 ( 由 于 表 过 大 ,就 不 全 部 给 出 了 ) 。 


表 4-18 S 盒 输入 输出 对 应 表 


aoaiazqsq4qsa6a7 bo b' b, bs bs bs be by 
00000000 01100011 
00110110 00000101 
11111111 00010110 


通过 表 4-18, 穷 举 输入 输出 的 每 一 位 进行 异 或 ,计算 其 等 于 0 或 等 于 1 的 概率 ( 取 概 率 
较 大 的 )( 由 于 结果 过 于 庞大 ,这 里 只 给 出 部 分 结果 ) 。 

qo 中 hi 二 1 ,概率 为 卫 : 0.51。 

ao 由 心 王 1 ,概率 为 P: 0. 55。 

qo 四 bs 二 1 ,概率 为 P: 0.53。 

qo 中 b= 二 0 ,概率 为 P: 0. 56。 

ao 中 05 一 0 ,概率 为 P: 0. 56。 

as ParMb Db Dob; Dbs Db =1 ,概率 为 P: 0. 53。 

as DarMb Obs Db Dob; Dos =1 ,概率 为 P: 0. 52。 

as ParMb, Dbs Db Pb; Db =0 ,概率 为 P: 0. 55。 


qs DarMh Dbs Db Db Dor =0 ,概率 为 P: 0. 51。 

QDas Pas Pas DarDh Dh Ob Db, =0 ,概率 为 P: 0. 53。 
Ad1Das Pas Das DarMh Db Db Obs =1 ,概率 为 P: 0. 55。 
a1PDas Pa; Pas Bar Pb, Db Db Do =0 ,概率 为 了: 0. 55。 
a Pas Pas Pas Pai Db Pb Db Do =0 ,概率 为 P: 0. 55。 
Aa1PDas Da Das DarMb Db Db Db, =1 ,概率 为 P: 0. 53。 
a1 Pas Pas Das DarDb Db Db Dos =1 ,概率 为 P: 0. 55。 
1 Pas Das Das ParDb Dh Db Do =0 ,概率 为 P: 0. 50。 


a Pa Da: Das Das Bas Das Dar Dh Dh Db:Mb Db Db Do =0 ,概率 为 P: 0. 51。 

a Dai Pas Das Da Ba; Das Bar Db Dh Dbs Db Db Db Do =0 ,概率 为 P: 0. 51。 

a Pai Das Das Das Das Pas Dar Db Db, Db; Pb Db; Do Do =1 ,概率 为 P: 0. 54。 

a Da Pas Das Da Das Das Dar Dh Db: Ob Ob Dob: Db Do =0 ,概率 为 P: 0. 53。 

a Da Da Das Da Das Das Bar Dh Db Pb: Pb;MD Dbs DoDOb =0, 概 率 为 P: 
0.51。 

通过 上 面 的 几 步 计算 ,得 到 了 65 025 个 有 关 输 入 输出 的 概率 方程 ,其 所 有 的 概率 分 布 
在 0.50 至 0. 56 之 间 , 其 中 概率 为 0. 56 的 方程 有 3091 个 ,而 这 些 方程 将 在 后 面 的 分 析 中 
用 到 。 
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由 于 128 位 AES 较为 复杂 ,将 先 引 入 一 个 简化 16 位 AES 进行 分 析 , 验 证 。 
假设 简化 AES 的 S 盒 对 应 的 输入 输出 表 , 如 表 4-19 所 示 。 


表 4-19 16 位 AES 的 输入 输出 对 应 表 


aoaiazay bob' b, bs aoaiaqaa3s Do 
0000 1001 1000 0110 
0001 0100 1001 0010 
0010 1010 1010 0000 
0011 1011 1011 0011 
0100 1101 1100 1100 
0101 0001 1101 1110 
0110 1000 1110 1111 
0111 0101 1111 0111 


可 以 提取 出 概率 为 0.75 的 方程 : 


ao Ob =0 
as 中 加 一 1 
a Da Dh =1 


aa 四 as Obs=1 
az Ob Obs=1 


al 由 六 一 0 

az Dh Bb =1 

ao Ba Ba BasMBh=0 
a Bh Bb =0 


a Bab Mh=1 
a Da DhMb Db =1 
ao Dh Dn=1 


4.7.2 ”AES 的 扩展 密 钥 分 析 


由 于 AES 属于 迭代 变换 ,所 以 扩展 密 钥 是 必 不 可 少 的 ,通过 生成 器 产生 NN, 十 1 个 轮 密 
钥 ,每 个 轮 密 钥 由 N* 个 字 组 成 ,共有 Ns(CN, 十 1) 个 字 斑 [可 ,=0,1,…,NeCN 二 1) 一 1。 加 
密 过 程 中 ,需要 N, 十 1 个 轮 密 钥 ( 即 子 密 钥 ) ,需要 4(N, 十 1) 个 32 位 字 。 

令 key[] 和 W[] 分 别 用 于 存储 扩展 前 、 后 的 密 钥 。SubWord() .RotWord0O 〇 分 别 是 S 盒 
的 阜 换 和 以 字 节 为 单位 的 循环 位 移 。Rs[i= (RC[i],'00','00','00'),RC[i]=2。， 
RCLi 一 可 (全 1)。 字 节 运 算是 多 项 式 运算 ,因此 可 以 用 多 项 式 表示 为 

RC[i] = xz. RC[i—1] = zi mod (zs 十 z 十 za 十 z 十 1) (i>1) 

AES 密 钥 扩展 算法 的 输入 是 4 个 字 ( 每 个 字 32 位 , 共 128 位 )。 输 入 密 钥 直接 被 复制 
到 扩展 密 钥 数组 的 前 4 个 字 中 ,得 到 ze[0],z[1],zw[2],zw[3]; 然后 每 次 用 4 个 字 填 充 扩展 
密 钥 数 组 余下 的 部 分 。 在 扩展 密 钥 数组 中 ,w[ 门 的 值 取 决 于 w[i 一 1] 和 w[i 一 4](i 宇 4)。 

对 w 数 组 中 下 标 不 为 4 的 倍数 的 元 素 ,只 是 简单 地 异 或 ,其 逻辑 关系 为 


w[ 让 二 w[i 一 1] 回 w[i 一 4] (i 不 为 4 的 倍数 ) 
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对 ww 数组 中 下 标 为 4 的 倍数 的 元 素 , 采 用 以 下 的 计算 方法 : 

(1) RotWord(): 将 前 一 个 字 的 4 个 字 节 循环 左 移 一 个 字 节 ,即将 字 (6bo616z63) 变 为 (5 
入 可 而 尖 

(2) SubWord(): 基于 S 盒 对 输入 字 中 的 每 个 字 节 进行 S 替换 。 

(3) 将 步骤 (2) 的 结果 再 与 轮 常量 Ro[ 门 异 或 运算 。 

(4) 将 步骤 (3) 的 结果 再 与 w[i 一 4j 进 行 异 或 运算 , 即 

W[i] = SubWord(RotWord(w[i 一 1])) 加 Row[i/4j] 四 w[i 一 4] (i 为 4 的 倍数 ) 

对 于 三 轮 AES 加 密 , 需 要 原始 密 钥 和 三 轮 扩展 密 钥 , 即 Ko ,Ki ,Ks ,Kas; 

Ko=W[LOJWL1IWL2]JWL3]= (ko ,*** ,ks) (ks Res ) (Re s*** ,kos) (kg »*** kis7 ) (128 
位 原始 密 钥 ) 

Ki=W[4JW[L5JWL6JW[7]= (ks »*** s Ris) Ckieo »*** » Rig ) Ckige Razzs ) (CR22 255) 

K,=W[L8JWL9JW[L10]W[11]= (kzs »*** ,kasr ) (kzss ,Asls ) (kaz0 » °° skas1 ) (kase »*** skass ) 

K;=W[12]JW[13JW[L14JW[15]= (ks »*** ,kus ) (kee Ray ) Ckass » °° » Rare ) Ckaso sn ) 

WI[4]=W[0]®"*01000000”®S-box(ksks kio ku kiskiskukis )DS-boxCkie ki kiskio kzo ka 
kzzkzs) DS-box(kz kzskzsk2r kzs koksoks) DS-box(kokiksksks kskek? ) 


WL[L5]=W[L4]OWL[L1] 
WL[L6]=W[L5]OWL2] 
WL[L7]=WL6]OWL3] 
WL[L8]=W[L4]®"*02000000”@® S-box (kzss kzss kzss kss kass kasr koss kzss ) DS- box (kzto kat 


ka ks kass kziskarok2sr ) DS- box (kass ka kasokzsi kasz kass kzs4 kass ) DS-boxCkz ks kaoe kz kaz8k2zy 


W[L9]=W[L8]®W[L5] 
10]=W[L9JOWL[L6] 
11]=W[10]@WI[7] 

W[12]=W[8]@"*04000000”@®D S-box (ksso kas1 ass Rass ad Rass kass Ra6y ) DS-box (kos ke 
ka70 kani karz kars ka kars ) DS- box(ksre karr karskars kasokssi kasz ksss ) DS-box(ksse kssskasskasskase kss7 
ksss kass ) 


全 
EE 


S-box(kskokiokukizkiakukis) = lol llslls lel 
S-box(kiek1rkisk1is kao ka kskz3) = Lslo lioln lzlislulis 

S- box (kz kzs kz k2r kzsk2okao ki ) = Lielir lislis Lz0 lz 22 [2s 
S-box(kokik,ksksksksk? ) = Lo l2sl2sl27 U2s U29 ls0 ls1 

S- box(k232k233k234 koss kzse R237 kzss kzs9 ) 一 Lao Las las lss Lse ls7 Lss Ls9 
S- box(kzaok2n kz2s2 Ross kzrs kzssk2ss kzsr) = Lola Laz lal lss lelar 
S- box(kask2s k2so kzs1 Rk2ss kossk2ss kzss ) = Lys lye lsolsilsz Lss Ls lss 
S- box(k224 R22s R226 R227 R22s R229 kzs0 kzs1 ) 一 156 157 Lss Lso Lso 16l Lez Les 
S- box(kaeok3e1 kas2 kass kass Raes kase kse7 ) — Los Les Lse Ler Les Leo Lol71 
S- box(ksesk3e9 karo kani Rare karskara kars ) = L72L7s la lrs Ure lr Lrs lr 
S- box(karek3rr kars karo kaso kasikas2 Rss3 ) — Lso ls Ls2 Usa Ls4 [ss Lse Ls7 
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全 box(ksso kass kass kass ksse As57 ksss kas9 ) =lss lss Lgo ls1 Loz lss ls lss 

由 此 ,可 以 推导 出 扩展 密 钥 和 原始 密 钥 的 关系 是 

k=ki_i28 Dli_1ss (128<i<159) 

kiss = As Dl D1 

ki=ki_s Dhki_1w (160<i<255)(288<i<383) (416<i<511) 
ki=ki_1z8 Pls (416<i<511,i#286) 

kzs6 一 kiss Dlss D1 

ki=ki_128 Pls (384<i<415,i413) 

kas = kzss Dlss D1 

对 于 简化 16 位 AES, 将 得 到 

Ko=W[LOJW[1] 一 (bo ,ki) (ks Rs) 

Ki=W[2]JW[L3] 一 (As ,kos) (ko se ka) 

Ks=W[4JW[5] = (ks ,Rss ) (kyo s*** ,kr ) 
W[2]=W[L0J®*10000000’®S-box(kizkiskukis) DS-box(kskskiokn ) 
W[3]=W[1] 由 W[2] 
W[4]=W[2]®'00110000’®S-box(kss kzsksoka ) DS-box(kz koskzs ko ) 
W[5]=W[L3]®WI[4] 

夸 

S-box(kizkiskukis) = lolilals 

S-box(kskskiokn) = llslel; 

S-box(kzskzs kaoka) = Lelylioln 

S-box(kakzsk2zskzr) = lzlialulis 

由 此 可 以 推出 

kis = ko Dl D1,ki=ki_ws Dk (17<i<23) 

ka 一 kis Dlio D1 ,ks = kis Dn D1 

ki=ki-i Dki-un (i=32,33,36,37,38,39) 

ki=k;-s Dki-w (15<i<31) (40<i<47) 


4.7.3 ”AES 线性 密码 分 析 
简化 AES 加 密 过 程 是 在 一 个 2X2 的 字 节 和 矩阵 上 运作 ,有 一 个 16 位 的 原始 密 钥 , 记 为 


kok1…kis 。 这 密 钥 需 要 扩展 到 48 位 kok1…K4i ,其 中 前 16 位 是 原始 密 钥 而 其 他 的 是 根据 密 


钥 扩 


展 算法 而 扩展 得 来 的 子 密 钥 。 各 轮 AES 加 密 循环 ( 除 最 后 一 轮 外 ) 包 含 4 个 步骤 (和 
AES 类 同 ): 
A( 轮 密 钥 加 密 ) 一 一 矩阵 中 的 每 一 个 字 节 都 与 该 轮 密 钥 做 异 或 运算 ,如 图 4-21 所 示 。 
N | Ns 
@ | mI) = 
Ni | ws 


图 4-21 16 位 AES 轮 密 钥 加 密 
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NS(S 盒 蔡 换 ) 一 一 通过 一 个 非 线性 的 替换 函数 ,用 查找 表 的 方式 把 每 个 字 节 替换 成 对 
应 的 字 节 ,具体 操作 如 图 4-22 所 示 。 


MN N Ws S-box(No) | S-box(N;) 


MN Ns S-box(N) | S-box(N3) 


图 4-22 16 位 AES 的 S 盒 替换 
SR( 行 位 移 ) 一 一 将 矩阵 中 的 每 个 横 列 进行 循环 式 移 位 ,具体 操作 如 图 4-23 所 示 。 


SR MN Wm 


Ni | Ns Ns NM 


4-23 16 位 AES 行 位 移 


MC( 列 混淆 ) 一 一 为 了 充分 混合 矩阵 中 各 个 直行 的 操作 。MC 是 MixColumn 运算 的 缩 
写 。[N;,N;] 被 认为 是 GF(16)[z]/(x: 十 1) 的 元 素 Niz 十 Ni。 函 数 MC 乘 以 多 项 式 
c(Cz) 一 zzzx 十 1 的 每 列 。 

最 后 一 个 加 密 循环 中 省 略 MixColumns 步骤 ,而 以 另 一 个 AddRoundKey 取代 。 

函数 RotNib 被 定义 为 RotNib(NuNi) 二 Ni No 而 函数 SubNib 被 定义 为 SubNib 
(NoN1) 二 S-box(No)S-box(N1)。 这 两 个 函数 名 分 别 是 行 位 移 ,替代 变换 的 缩写 。 

简化 AES 算法 是 通过 使 用 扩展 密 钥 kok…k4z 对 16 位 明文 加 密 产生 16 位 密 文 。 假 设 
poP1…pis 是 明文 ,coc…cis 是 密 文 ,加 密 算法 由 8 种 构造 函数 加 密 明 文 。 所 以 ， 

coct 和 ca 一 Ak, DSRONSODAr, 田 MC 申 SR 四 NS 四 Ak (pop1**p1s) 
其 中 Ak ( 思 一 开 , 由 / 

在 简化 AES 加 密 中 构造 函数 Ak 由 MCBSR@NS 被 认为 是 用 在 第 i 轮 加 密 的 。 简 化 
到 两 轮 ,Ax 优先 用 于 第 一 轮 ,MC 忽略 第 二 轮 。 

分 组 算法 很 多 ,其 中 较 经 典 的 包括 DES、3DES、AES 和 IDEA, 表 4-20 将 对 这 些 算法 进 
行 比较 分 析 。 

表 4-20 DES、3DES、AES、IDEA 算法 比较 
类 型 定义 密 钥 长 度 | 分 组 长 度 | 循环 次 数 安全 性 


ae 数据 加 密 标准 ,速度 较 快 ,适用 于 加 密 大 Eg 本 是 依赖 密 钥 受 穷 
量 数据 的 场合 举 搜索 法 攻击 
军事 级 , 可 抗 
是 基于 DES 的 对 称 算 法 ,对 一 块 数据 用 三 
3DES | 个 不 同 的 窒 铀 进行 三 次 加 密 , 强 度 更 高 | 112 168| 。 64 48 
高 级 加 密 标准 ,对 称 算法 ,是 下 一 代 的 加 128 10 安全 级 别 高， 
AES | 密 算 法 标准 ,速度 快 ,安全 级 别 高 ,目前 192 64 12 高 级 加 密 标准 
AES 标准 的 一 个 实现 是 Rijndael 算法 256 14 
国际 数据 加 密 算法 ,使 用 128 位 密 钥 提 供 能 抵抗 差分 密 
IDEA | 非常 强 的 安全 性 刚 5 | 码 分 析 的 攻击 
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1. DES 


算法 的 入 口 参 数 有 三 个 : Key、Data、Mode。 其 中 Key 为 8 个 字 节 共 64 位 ,是 DES 算 
法 的 工作 密 钥 。 

Data 也 为 8 个 字 节 64 位 ,是 要 被 加 密 或 被 解密 的 数据 ; Mode 为 DES 的 工作 方式 ,有 
两 种 : 加 密 或 解密 。 

如 Mode 为 加 密 , 则 用 Key 去 把 数据 Data 进行 加 密 , 生 成 Data 的 密码 形式 (64 位 ) 作 
为 DES 的 输出 结果 ; 如 Mode 为 解密 , 则 用 Key 去 把 密码 形式 的 数据 Data 解密 ,还 原 为 
Data 的 明码 形式 (64 位 ) 作 为 DES 的 输出 结 

在 通信 网络 的 两 端 ,双方 约定 一 致 的 Key, 在 通信 的 源 点 用 Key 对 核心 数据 进行 DES 
加 密 , 然 后 以 密码 形式 在 公共 通信 和 网 (如 电话 网 ) 中 传输 到 通信 网 络 的 终点 ,数据 到 达 目 的 地 
后 ,用 同样 的 Key 对 密码 数据 进行 解密 , 便 再 现 了 明码 形式 的 核心 数据 。 这 样 , 便 保证 了 核 
心 数据 (如 PIN、MAC 等 ) 在 公共 通信 和 网 中 传输 的 安全 性 和 可 靠 性 。 通 过 定期 在 通信 和 网络 
的 源 端 和 目的 端 同 时 改 用 新 的 Key, 便 能 更 进一步 提高 数据 的 保密 性 ,这 正 是 现在 金融 交易 
网 络 的 流行 做 法 。 


2. 3DES 


3DES 是 DES 加 密 算法 的 一 种 模式 , 它 使 用 3 条 64 位 的 密 钥 对 数据 进行 三 次 加 密 。 数 
据 加 密 标准 (DES) 是 美国 的 一 种 由 来 已 久 的 加 密 标准 , 它 使 用 对 称 密 钥 加 密 法 ,是 DES 向 
AES 过 渡 的 加 密 算法 (1999 年 ,NIST 将 3DES 指定 为 过 渡 的 加 密 标准 ), 是 DES 的 一 个 更 
安全 的 变形 。 它 以 DES 为 基本 模块 ,通过 组 合 分 组 方法 设计 出 分 组 加 密 算法 。 

设 Ek() 和 Dx() 代 表 DES 算法 的 加 密 和 解密 过 程 ,K 代表 DES 算法 使 用 的 密 钥 ,P 代 
表明 文 ,C 代表 密 表 ,这 样 ， 

3DES 加 密 过 程 为 C 一 Ek, (Dk, (Ex, (P)))。 

3DES 解密 过 程 为 P=Dk, (Ex, (Dx, (C)))。 

Ki、K; \K; 决 定 了 算法 的 安全 性 ,车 三 个 密 钥 互 不 相同 ,本 质 上 就 相当 于 用 一 个 长 为 
168 位 的 密 钥 进行 加 密 。 多 年 来 , 它 在 对 付 强力 攻击 时 是 比较 安全 的 。 若 数据 对 安全 性 要 
求 不 那么 高 ,Ki 可 以 等 于 KK;。 在 这 种 情况 下 ,可 以 表示 为 

Ex, (Dk, (Ek, (P)))==C 加 密 

Du (Ex, (Dk, (C))) 二 P 解密 密 钥 的 有 效 长 度 为 112 位 


3. AES 

AES 也 是 分 块 对 数据 加 密 的 ,只 是 块 的 长 度 并 不 像 DES 那样 定 为 64 位 。Rijndael 的 
密 钥 长 度 可 以 从 128 位 起 以 32 位 为 间隔 递增 到 256 位 。Rijndael 算法 完全 公开 、 安 全 性 
好 、 运 算 速度 极 快 。 如 果 取 密 钥 长 度 为 128 位 , 想 用 穷 举 法 破解 密 钥 ,就 算 有 一 台 内 含 1000 
亿 个 处 理 器 的 计算 机 ,并 且 每 个 处 理 器 每 秒 处 理 100 亿 个 密 钥 ,也 要 运行 100 亿 年 才能 搜索 
完整 个 密 钥 空间 。 


4. IDEA 


算法 安全 性 比 DES 好 (和 AES 差不多 ) ,能 抵抗 差分 密码 分 析 的 攻击 ,而 DES 不 行 。 


75 


4 


76 


信息 安全 原理 与 应 用 技术 


IDEA 的 加 密 速度 比 DES 快 ,加 密 数 据 速率 可 达到 177MB/s, 也 和 AES 差不多 。 
习题 


。. 简 述 Feistel 密码 的 重要 性 。 

. 混淆 和 扩散 的 差别 是 什么 ? 

. 在 S-DES 的 密 钥 生成 过 程 中 ,初始 置换 P10 和 两 个 LS-1 置换 的 作用 是 什么 ? 
. 利用 S-DES 密码 体制 加 密 明文 star, 主 密 钥 KK 二 1010010111。 

. 利用 S-DES 密码 体制 解密 密 文 star, 主 密 钥 KK 二 1010010111。 


an 证 


在 公 钥 密码 体制 以 前 的 整个 密码 学 史 中 , 所 有 的 密码 算法 ,包括 原始 手工 计算 的 .由 机 
械 设 备 实现 的 以 及 由 计算 机 实现 的 ,都 是 基于 代替 和 置换 这 两 个 基本 工具 的 。 而 公 钥 密码 
体制 则 为 密码 学 的 发 展 提供 了 新 的 理论 和 技术 基础 ,一 方面 公 钥 密 码 算法 的 基本 工具 不 再 
代 换 和 置换 ,而 是 数学 函数 ; 另 一 方面 公 钥 密码 算法 以 非 对 称 的 形式 使 用 两 个 密 钥 ,两 个 密 
钥 的 使 用 对 保密 性 、 密 钥 分 配 、 认 证 等 都 有 着 深刻 的 意义 。 可 以 说 公 钥 密码 体制 的 出 现在 密 
码 学 史上 是 一 个 最 大 的 而 且 是 唯一 真正 的 革命 。 


6.1 概述 


5.1.1 公 钥 密码 体制 的 提出 


对 称 密 码 体制 (分 组 加 密 体 制 ) 通 过 对 明文 的 分 组 可 以 进行 快速 的 加 密 , 但 其 仍 存在 
缺陷 。 


1. 密 钥 分 配 问题 


通信 双方 要 进行 加 密 通信 ,需要 通过 秘密 的 安全 信道 协商 加 密 密 钥 ,而 这 种 安全 信道 可 
能 很 难 实现 。 

很 久 以 来 ,“ 密 钥 分 发 "问题 一 直 困扰 着 密码 专家 。 比 如 ,第 二 次 世界 大 战 时 ,德国 高 级 
指挥 部 每 个 月 都 需要 分 发 (每 日 密 钥 》 月 刊 给 所 有 Enigma 机 的 操作 员 。 而 且 , 即 使 u 型 潜 
艇 大 多 数 时 间 都 远离 基地 , 它 也 不 得 不 想 办 法 获得 最 新 的 密 钥 。 美 国政 府 的 密 钥 是 
COMSEC( 通 信安 全 局 的 缩写 ) 掌 管 和 分 发 的 。20 世纪 70 年 代 ，COMSEC 每 天 分 发 的 密 
钥 数 以 吨 计 。 当 装载 着 COMSEC 密 钥 的 船 靠 港 时 ,密码 分 发 员 会 到 甲板 上 收集 各 种 卡片 、 
纸 带 以 及 软盘 和 其 他 一 切 储存 密 钥 的 介质 。 然 后 ,把 它们 分 发 给 客户 。 


2. 密 钥 管理 问题 


在 有 多 个 用 户 的 网 络 中 ,任何 两 个 用 户 之 间 都 需要 有 共享 的 密 钥 , 当 网 络 中 的 用 户 ) 很 
大 时 ,需要 管理 的 密 钥 数 目 也 非常 大 c(n,2) 二 n(n 一 1)/2。 车 二 1000, 则 C(1000,2)< 
500 000 ,庞大 的 密 钥 如 何 管理 ? 如 何 定期 更 换 ? 这 些 都 是 一 个 十 分 复杂 的 工程 。 更 有 甚 
者 ,每 一 个 用 户 与 其 他 ”一 1 个 用 户 的 保密 通信 , 需 保存 一 1 个 密 钥 ,如 果 将 其 记 在 本 子 上 
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或 存储 在 计算 机 内 部 都 是 十 分 不 安全 的 。 
3. 没有 签名 功能 


当主 体 A 收 到 主体 B 的 电子 文档 (电子 数据 ) 时 ,无 法 向 第 三 方 证 明 此 电子 文档 确实 来 
源 于 B。 


5.1.2 公 钥 密码 体制 的 原理 


公 钥 密码 算法 最 大 的 特点 是 采用 两 个 相关 密 钥 将 加 密 和 解密 分 开 , 其 中 一 个 密 钥 是 公 
开 的 , 称 为 公开 密 钥 , 简 称 公 钥 , 用 于 加 密 ; 另 一 个 密 钥 是 用 户 专用 的 ,因而 是 保密 的 , 称 为 
秘密 密 钥 ,简称 密 钥 ,用 于 解密 。 因 此 公 钥 密码 体制 也 称 为 双 钥 密码 体制 。 算 法 有 以 下 重要 
特性 : 已 知 密码 算法 和 加 密 密 钥 ,求解 密 密 钥 在 计算 上 是 不 可 行 的 。 

公 钥 密码 体制 的 加 密 解 密 原 理 如 图 5-1 所 示 。 


加 密 算法 


密码 分 析 员 | 从 
| ( 窍 听 者 ) | Sks 


图 5-1 公 钥 密码 体制 的 加 解密 原理 图 


整个 加 解密 过 程 可 以 分 成 以 下 步 又: 

(1) 要 求 接收 消息 的 端 系统 ,产生 一 对 用 来 加 密 和 解密 的 密 钥 ,如 图 中 的 接收 者 B, 产 
生 一 对 密 钥 PKe ,SKs ,其 中 PKs 是 公 钥 ,SKs 是 私 钥 。 

(2) 端 系统 B 将 加 密 密 钥 ( 如 图 中 的 PKs) 予 以 公开 , 另 一 密 钥 则 被 保密 (图 中 的 SKs)。 

(3) A 要 想 向 BB 发送 消 息 mw, 则 使 用 B 的 公 钥 加 密 mm。 

(4) B 收 到 密 文 后 ,用 自己 的 密 钥 SKs 解密 。 

因为 只 有 B 知道 SKs .所 以 其 他 人 都 无 法 对 密 文 解密 。 

公 钥 加 密 算法 不 仅 能 用 于 加 解密 ,还 能 用 于 对 发 方 A 发 送 的 消息 m 提供 认证 ,如 图 5-2 
所 示 。 用 户 A 用 自己 的 密 钥 SKA 对 m 加 密 , 将 密 文 发 往 B。B 用 A 的 公 钥 PKA 解密 。 

因为 从 m 得 到 的 密 文 是 经 过 A 的 密 钥 SKA 加密 的 ,只 有 A 才能 做 到 。 因 此 密 文 可 当 
作 A 对 m 的 数字 签字 。 另 一 方面 ,任何 人 只 要 得 不 到 A 的 密 钥 SKA 就 不 能 算 改 澡 , 所 以 以 
上 过 程 获得 了 对 消息 来 源 和 消息 完整 性 的 认证 。 

在 实际 应 用 中 ,特别 是 用 户 数 目 很 多 时 ,以 上 认证 方法 需要 很 大 的 存储 空间 ,因为 每 个 
文件 都 必须 以 明文 形式 存储 以 方便 实际 使 用 ,同时 还 必须 存储 每 个 文件 被 加 密 后 的 密 文 形 
式 即 数字 签字 ,以便 在 有 争议 时 用 来 认证 文件 的 来 源 和 内 容 。 改 进 的 方法 是 减 小 文件 的 数 
字 签 字 的 大 小 , 即 先 将 文件 经 过 一 个 函数 压缩 成 长 度 较 小 的 比特 串 ,得 到 的 比特 串 称 为 认证 


符 。 认 证 符 具有 这 样 一 个 性 质 : 如 果 保 持 认证 符 的 值 不 变 而 修改 文件 ,这 在 计算 上 是 不 可 
行 的 。 用 发 送 者 的 密 钥 对 认证 符 加 密 ,加 密 后 的 结果 为 原文 件 的 数字 签字 。 这 一 内 容 将 在 
后 续 章 节 详 细 介绍 。 


密码 分 析 员 
(窃听 者 ) 


图 5-2 公 钥 密码 体制 的 认证 原理 图 


以 上 认证 过 程 中 ,由 于 消息 是 由 用 户 自己 的 密 钥 加 密 的 ,所 以 消息 不 能 被 他 人 自 改 ,但 
却 能 被 他 人 窃听 。 这 是 因为 任何 人 都 能 用 用 户 的 公 钥 对 消息 解密 。 为 了 同时 提供 认证 功能 
和 保密 性 ,可 使 用 双重 加 解密 。 


5.1.3 Diffie-Hellman 密 钥 交换 算法 


在 20 世纪 70 年 代 中 期 ,斯 坦 福 大 学 的 研究 生 Whirefield Diffie 和 教授 Martin 
Hellman 特别 研究 了 密 钥 分 发 问题 。 二 人 提出 了 一 个 方案 ,由 此 能 够 通过 交换 公开 信息 建 
立 一 个 共享 的 秘密 ,他 们 可 以 在 公开 的 信道 上 通信 ,以 偷 听 者 可 读 的 形式 来 回 传送 信息 , 同 
时 生成 一 个 不 公开 的 秘密 数值 ,然后 通信 双方 能 够 使 用 这 个 秘密 数值 作为 对 称 会 话 密 钥 ,这 
个 方案 称 为 Diffie-Hellman, 或 者 DH。DH 解决 了 一 个 密 钥 共享 问题 。 它 的 安全 性 是 基于 
计算 离散 对 数 的 困难 性 的 。 

这 里 涉及 两 个 概念 ,一 个 是 第 3 章 中 的 本 原 元 ,一 个 是 离散 对 数 。 

定义 5-1 设 p 是 素数 ,a 是 如 的 本 原 根 , 即 al,a2 ,，…… sa ! 在 mod p 下 产生 1 到 pp 一 
1 的 所 有 值 ,所 以 对 5E€ {1,…… ,Pp 一 1} ,有 了 唯一 的 i€ (1 :pp 一 1 使 得 6 三 a' mod p。 称 
i 为 模 p 下 以 a 为 底 b 的 离散 对 数 , 记 为 i 三 log,b( mod p)。 

当 a.p\i 已 知 时 ,可 以 比较 容易 地 求 出 5, 但 如 果 已 知 a.b 和 pp, 求 i 则 非常 困难 。 

如 果 两 个 通信 主体 Alice 和 Bob 希望 在 公开 信道 上 建立 密 钥 , 则 利用 Diffie-Hellman 
密 钥 交换 算法 的 建立 过 程 为 

(1) 选择 一 个 大 素数 p (200 位 左右 ) 。 

(2) 计算 p 的 一 个 本 原 元 a。 

(3) Alice 选择 一 个 密 钥 (Secret Key(number)Xa 二 p)。 

(4) Bob 选择 一 个 密 钥 (Secret Key(number) Xs 二 p)。 

(5) Alice 和 Bob 计算 他 们 的 公开 密 钥 。 

Ya=a*s mod Pp 以 及 Ys=zx*s mod p。 

(6) Alice 和 分 别 公 开 YA ,Ys。 

Diffie-Hellman 密 钥 交换 算法 的 密 钥 交换 过 程 为 
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(1) Alice 计算 共享 密 钥 K 二 Xs mod p。 
(2) Bob 计算 共享 密 钥 K, 二 YXs mod p。 
(3) 计算 : Ki 一 YE mod p 二 (a*s mod p)*s* mod p 
=a*sXs mod p=(a*a)*s modp 
=(a*s mod p)*s mod p=Y’Xs mod p=K; 
所 以 ,可 以 共享 密 钥 。 
这 里 的 安全 性 主要 体现 在 : 如 果 只 知道 a、p、Ys、Ys, 想 计算 X。 和 Xs 是 很 困难 的 。 
例如 : 选取 素数 p= 二 97, 及 本 原 元 4a 二 5,Alice 选取 密 钥 XA 王 36,Bob 选取 密 钥 Xs 二 58。 
计算 Alice 的 公 和 钥 Y 二 5*” mod 97 二 50; Bob 的 公 钥 Ye 一 55 mod 97 一 44。 
Alice 计算 共享 密 钥 K, 二 44*”mod 97 二 75; Bob 计算 共享 密 钥 Ks 二 50”* mod 97 一 75， 
从 而 实现 了 密 钥 共享 。 


G3 RSA 概述 


RSA 为 目前 最 著名 的 公开 密 钥 密码 系统 ,是 由 三 位 麻 省 理工 学 院 (MIT) 的 学 者 罗 纳 
德 . 李维斯 特 (Ron Rivest)、 阿 迪 。 萨 莫 尔 (Adi Shamir) 和 伦 纳 德 。 阿 德 曼 (Leonard 
Adleman) 于 1978 年 提出 的 。RSA 就 是 他 们 三 人 姓氏 开头 字母 拼 在 一 起 组 成 的 。RSA 密 
码 系统 可 用 于 加 解密 、 数 字 签 章 、 密 钥 交 换 等 ,其 安全 性 是 建立 于 因子 分 解 的 困难 度 的 。 因 
子 分 解 问题 是 指 给 定 一 合成 数 n 为 两 个 大 素数 p 与 4 的 乘积 , 欲 分 解 在 计算 上 不 可 行 。 
RSA 密码 体制 分 成 两 个 部 分 : 密 钥 生成 和 加 解密 算法 。 


5.2.1 密 钥 生成 


(1) 选 两 个 大 素数 p 和 gq。 

(2) 计算 n=pq,q(2) 二 (p 一 1)(q 一 1) ,其 中 q0) 是 的 欧 拉 函 数值 。 
(3) 选 一 整数 e( 公 钥 ) ,满足 1<e<p(z) , 且 gcd(g(n),e)=1。 

(4) 计算 私 钥 & ,满足 de 二 1 mod g(n) , 即 d 一 emod g(n)。 

可 以 公开 和 ,只 要 不 知道 p 和 g ,就 很 难 计算 p(n) ,就 不 知道 私 钥 d。 
例 5-1 设 p=7,g 二 11,e 二 13, 求 ng(r) 和 d。 


解 : n 二 pg 二 77 
p(n)=(p—1)(g—1)=6X10=60 
判断 : 


gcd(g(n),e) 二 gcd(13,60) 二 1 成 立 
d=e ! mod g(n)=13 ! mod 60 
用 扩展 欧 几 里 得 算法 可 得 d 一 一 23 mod 60 二 37 


CQ x bP Xs YY 了 Ys 

0 60 0 1 13 
4 0 于 13 1 a 8 
| 一 4 8 =1 5 5 
1 = 5 5 —9 EE 
L 2 —9 3 一 3 14 2 
和 一 3 14 2 5 一 23 


5.2.2 加 解密 算法 


(1) 加 密 : m 过 n 为 明文 ,计算 密 文 c=m* mod n。 
(2) 解密 : 计算 明文 ==c? mod n 
cd mod n= (m’° mod n)* mod n= mm” mod n= mYY mod n( 因 为 ed 二 1 mod gn)) 

= (mxXm”?) modn= (mmodnXm”” modn) modn 
二 m mod n( 欧 拉 定 理 ) = m 

例 5-2 设 p=7.g==17、e==5、 明 文 区 二 19, 求 p(n)、d 和 密 文 c。 

解 : n= 二 pg 二 119 

p(n)=(p—1)(g—1)=96 

判断 : gcd(g(n),e) 二 gcd(96,5) 二 1 成 立 。 

d=e™! mod gp(n)=57! mod 96 

用 扩展 欧 儿 里 得 算法 可 得 d 二 77 

加 密 : c==m* mod "一 195 mod 119 一 66 

对 密 文 c 的 解密 浆 =cd mod 2 一 66” mod 119 二 19, 这 里 涉及 了 大 数 模 符 乘 的 计算 。 


5.2.3 大 数 模 景 乘 的 计算 


对 于 大 数 模 容 乘 a” mod n 的 计算 ,可 以 采用 快速 取 模 指数 算法 来 实现 ,具体 方法 包括 
以 下 两 种 方法 ,其 伪 码 表示 为 
(1) m 的 二 进 制 表示 为 6.6011…… bo ,其 中 已 王 10,1)G 一 0 1 ,R) 。 


c=0;d=1; 
For i=k downto0 
{ 
已 到 他 关公 
d= (dxd) mod n; 
if bi=1 then 
' 
c=ct1; 
d= (dxa) modn 
} 
} 


returnd 
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(2) 步骤 如 下 。 
QO b=m; c=a; d=1。 
@ 如 果 5 二 0, 输 出 结果 d。 
@ 如 果 0 是 奇数, 转 到 @。 
@Ob=6b/2;c 二 c* mod n, 转 到 @。 
b=06 一 1; d= 二 (cXd) mod n, 转 到 @。 
例 5-3 用 两 种 方法 计算 30”mod 77。 
解 : 第 一 种 方法 。 
37 的 二 进 制 表示 为 (100101),。 


b d 
37 30 1 
36 + 30 
18 53 + 

9 37 + 

8 y 32 
4 60 + 

2 58 + 

1 53 + 

0 } 2 

5.2.4 素数 判断 


密 钥 生成 需要 两 个 很 大 的 素数 ,然而 现在 却 没 有 一 个 特别 有 效 的 算法 来 判断 一 个 大 数 
是 否 为 素数 。Miller-Rabin 素数 判定 算法 是 其 中 一 个 相对 较 好 的 算法 。 

定义 5-2 设 2 是 一 个 奇数 , 设 n 一 1 二 25m ,其 中 是 非 负 整 数 ,mm 二 0 是 奇数 。 设 
0 二 5 二 n, 如 果 

b™” 二 1( modn) 
或 者 存在 一 个 ,0 三 r 二 s, 使 得 
"=—1( modn) 

则 称 通过 以 5 为 基 的 Miller-Rabin 测试 。 

定理 5-1 设 >2 是 一 个 素数 。 对 任意 整数 " 盖 0, 如 果 gcd(5,p) 二 1, 则 一定 可 以 通 
过 以 5 为 基 的 Miller-Rabin 测试 。 

证 明 : 设 p 一 1 二 2m ,其 中 ;是非 负 整 数 ,m 二 0 是 奇数 。 令 
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Ti=0 modp=b "modp 
k 二 0,1,2,…,s。 因 为 p 是 素数 ,gcd(b,p) 二 1, 所 以 由 Fermat 定理 知 
b”! =1( mod p) 
即 
T=1( mod p) 
由 于 二 6 车 mod p, 所 以 
Ti=T,=1( mod p) 
即 了 二 1( mod p) 或 者 TT 寺 一 1( mod p) 
如 果 五 =1(0 mod p), 由 于 


响 


Te Ti 二 1( mod p) 
所 以 ， 
T, 三 1( mod p) 或 者 T 二 一 1( mod p) 
一 般 地 ,如 果 T; 夺 1( mod p) ,1 二 i 二 一 1, 则 由 于 


Th = T;=1( mod p) 


所 以 ， 
Ti 三 1( mod p) 或 者 Ta 三 一 1( mod p) 
如 果 T, 夺 Ti 三 Ts 三 … 三 TT, 三 1( mod p) 
则 由 于 Ti 三 T,_1 二 1( mod p) 
所 以 ， 


T, 三 1( mod p) 或 者 T = 一 10mod p) 
因此 ,对 任意 整数 5 二 0, 如 果 gcd(c,p) 二 1, 则 pp 一 定 可 以 通过 以 5b 为 基 的 Rabin 测试 。 
定理 5-2 如 果 n>2 是 一 个 奇 合 数 , 则 至 多 有 个 5,0<b<n, 使 得 通过 以 6 为 基 
的 Miller-Rabin 测试 。 
Miller-Rabin 素数 判定 算法 描述 如 下 : 
奇数 三 3,b404-1…bo 为 (2 一 1) 的 二 进 制 数 ,随机 选取 整数 a(1 二 a 二 n)。 


d=1 
for (i=k;k>0;i-—) 
{ 
do 
{ 
x=d; 
d= (dxd) mod ni 
if (d=1 && x! =1 &&x!=(n-1)) 
returnT 
if (bi=1) 
d= (dxa) modn 
} 
if (d! =1) returnT 
returnF 


83 


84 


NM 


信息 安全 原理 与 应 用 技术 


如 果 返 回 ,证 明 一 定 不 是 素数 ; 如 果 返 回 F, 证 明 可 能 是 素数 。 
随机 选取 a, 计算 次。 如 果 ;三 5, 每 次 都 返回 下 , 则 是 素数 的 概率 记 99. 99%。 
在 10 整数 范围 内 ,共有 455 052 511 个 素数 。 


5.2.5 梅森 素数 


马 林 。 梅森 (Marin Mersenne,1588 一 1648) 是 17 世纪 法 国 著名 的 数学 家 ,他 与 大 科学 
家 伽利略 、 稍 卡 儿 、 费 马 、 帕 斯 卡 . 罗 伯 瓦 、 迈 多 治 等 是 密友 。 

1640 年 6 月 , 费 马 在 给 梅森 的 一 封 信 中 写 道 :“ 在 艰深 的 数论 研究 中 ,我 发 现 了 三 个 非 
常 重要 的 性 质 。 我 相信 它们 将 成 为 今后 解决 素数 问题 的 基础 >。 这 封 信 讨 论 了 形 如 2 一 1 
的 数 ( 其 中 pp 为 素数 )。 梅 森 在 欧 几 里 得 、 费 马 等 人 有 关 研 究 的 基础 上 做 了 大 量 的 计算 、 验 
证 工作 ,并 于 1644 年 在 他 的 《物理 数学 随感 ) 一 书 中 断言 : 对 于 p= 二 2,3,5,7,13,17,19,31， 
67,127,257,2? 一 1 是 素数 ; 而 对 于 其 他 所 有 小 于 257 的 数 ,2? 一 1 是 合 数 。 前 面 的 7 个 数 
( 即 2,3,5,7,13,17 和 19) 属 于 被 证 实 的 部 分 ,是 他 整理 前 人 的 工作 得 到 的 ; 而 后 面 的 4 个 
数 ( 即 31,67,127 和 257) 属 于 被 猜测 的 部 分 。 不 过 ,人 们 对 其 断言 仍 深信 不 疑 , 连 大 数学 家 
莱 布 尼 效 和 哥 德 巴赫 都 认为 它 是 对 的 。 

虽然 梅森 的 断言 中 包含 若干 错误 ,但 他 的 工作 极 大 地 激发 了 人 们 研究 素数 的 热情 。 由 
于 梅森 学 识 渊博 ,才华 横 溢 ,为 人 热情 以 及 最 早 系统 而 深入 地 研究 2 一 1 型 的 数 ,为 了 纪念 
他 ,数学 界 就 把 这 种 数 称 为 “梅森 数 ", 如 果 梅 森 数 为 素数 , 则 称 之 为 “梅森 素数 ” 

梅森 素数 在 当代 具有 十 分 丰富 的 理论 意义 和 实用 价值 。 它 是 发 现 已 知 最 大 素数 最 有 效 
的 途径 ; 它 推 动 了 有 “数学 皇后 ”之 称 的 数论 研究 ,也 促进 了 计算 数学 ,程序 设计 技术 、 网 格 
计算 技术 以 及 密码 技术 的 发 展 ; 另外 探究 梅森 素数 的 方法 还 可 用 来 测试 计算 机 硬件 运算 是 
否 正确 。 因 此 ,科学 家 们 认为 ,对 于 梅森 素数 的 探究 能 力 如 何 ,已 在 某 种 意义 上 标志 着 一 个 
国家 的 科技 水 平 。 

挪威 计算 机 专家 奥 德 。 斯 特 林 德 莫 通过 参加 一 个 名 为 “因特网 梅森 素数 大 搜索 ” 
(GIMPS) 的 国际 合作 项 目 ,最 近 发 现 了 第 47 个 梅森 素数 ,该 素数 为 “2 的 42 643 801 次 方 减 
1”。 它 有 12 837 064 位 数 , 如 果 用 普通 字号 将 这 个 巨 数 连续 写 下 来 , 它 的 长 度 超过 50 千 米 ! 


5.2.6 RSA 的 安全 性 


RSA 算法 利用 了 数学 中 存在 的 一 种 单 向 性 。 一 般 说 来 ,许多 数学 中 的 函数 都 有 单 向 
性 。 这 就 是 说 ,有 许多 运算 本 身 并 不 难 , 但 如 果 你 想 把 它 倒 回去 ,做 逆 运 算 , 那 就 难 了 。 
RSA 算法 在 理论 上 的 重大 缺陷 就 是 并 不 能 证 明 分 解 因数 绝对 是 如 此 之 困难 ,也 许 日 后 可 以 
找到 一 种 能 够 快速 分 解 大 数 的 因数 的 算法 ,从 而 使 RSA 算法 失效 。 

目前 RSA 算法 被 广泛 应 用 于 各 种 安全 或 认证 领域 ,如 Web 服务 器 和 浏览 器 信息 安全 
E-mail 的 安全 和 认证 、 对 远程 登录 的 安全 保证 以 及 各 种 电子 信用 卡 系统 的 核心 。 

与 单 钥 加 密 方法 比较 ,RSA 算法 的 缺点 就 是 运算 较 慢 。 用 RSA 算法 加 密 、 解 密 、 签 名 
pe 系列 求 模 竹 运 算 组 成 的 。 在 实际 应 用 中 ,经 常 选择 一 个 较 小 的 公 钥 或 者 一 

组 织 使 用 同一 个 公 钥 ,而 组 织 中 不 同 的 人 使 用 不 同 的 ,这 些 措施 使 得 加 密 快 于 解密 而 认 
刘 快 于 称 。 一 些 快 速 的 算法 如 基于 快速 傅 里 叶 变 换 的 方法 可 以 有 效 减少 计算 步骤 ,但 是 
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在 实际 中 这 些 算法 由 于 太 复 杂 而 不 能 广泛 地 使 用 ,而 且 对 于 一 些 典 型 的 密 钥 长 度 它 们 可 能 
会 更 慢 。 

目前 对 于 RSA 算法 的 攻击 主要 有 以 下 方式 : 选择 密 文 攻击 (破译 密 文 和 骗取 签名 )、 公 
共 模 数 攻击 、 低 加 密 指 数 攻击 、 低 解密 指数 攻击 .定时 攻击 。 


1. 选择 密 文 攻击 


RSA 的 模 指 数 运算 能 够 保持 输入 的 乘法 结构 , 即 Ei (a5b) 二 Ei(a)E(5)( mod nn) ,这 一 
特点 使 得 RSA 能 够 用 于 消息 的 隐藏 , 适 于 讶 签名 ,但 它 也 影响 了 RSA 算法 的 安全 性 。 

(1) 破译 密 文 : 假设 A 的 公 钥 为 (e,z) ,攻击 者 也 通过 窃听 得 到 发 给 A 的 密 文王 
m* mod 7 ,为 了 获得 明文 ,攻击 者 随机 选取 ”《E 2Z; ,计算 y==r* mod n,1 二 y mod 7, 令 人 一 
一 mod 0, 则 k= 二 ymod 2 现在 攻击 者 B 让 A 用 他 的 私 钥 对 上 签名 ,攻击 者 就 可 以 得 到 
s 二 tt mod n, 这 样 攻击 者 可 以 计算 ,k' 二 yd 二 yyscs 三 ct 三 m” 三 m( mod 7) ,于 是 攻击 者 
获得 了 明文 mn。 

(2) 骗取 签名 : 攻击 者 B 想 要 获得 A 对 一 则 非法 消息 m 的 签名 ,他 有 多 种 方法 。 

方法 1: B 首先 随即 选取 xE2Z; ,计算 y= 二 x* mod n, 然 后 攻击 者 计算 m= 二 ym mod n, 并 
将 m 发 送 给 A 以 获得 A 对 无 害 消息 m 的 有 效 签名 ,人 A 向 B 发送 签名 ,现在 攻击 者 B 计算 
-mod n 二 mmod n, 这 样 ,攻击 者 B 得 到 了 人 A 


mr ! mod n= ym’z 


对 非法 消息 m 的 签名 。 

方法 2: 攻击 者 B 首先 产生 两 份 消息 mi ,ms 满足 m= 二 mms mod n, 如 果 攻 击 者 B 能 获 
得 A 对 mi ,ms 的 签名 ,那么 他 可 以 计算 xs mod n= 二 mtms mod n, 从 而 获得 A 对 非法 消息 
mm 的 签名 。 

所 以 ,为 了 安全 起 见 , 不 要 对 陌生 人 提交 的 随机 性 文件 签名 ,并 且 最 好 先 使 用 单 向 Hash 
函数 对 消息 进行 散 列 运 算 。ISO9796 分 组 格式 可 用 来 防止 这 种 攻击 。 


公共 模 数 攻击 


如 果 系统 中 每 个 人 拥有 相同 的 模 数 ,即使 每 个 人 采用 不 同 的 公 / 私 钥 对 ,系统 安全 仍 
然 会 受到 巨大 的 威胁 。 设 消息 为 m, 两 个 加 密 密 钥 分 别 为 e ,es, 且 满足 gcd(el ,ez ) 一 1 ,两 
个 密 文 为 二 me' mod ncs 二 me* mod n, 由 于 .攻击 者 很 容易 由 扩展 欧 几 里 得 算法 得 到 ~， 
s, 满 足 rei 十 ses 二 1, 那 么 cic; mod 2 一 mm+nee mod 2 一 加 。 因 此 ,在 一 组 用 户 之 间 共 享 模 数 
是 不 安全 的 。 


3. 低 加 密 指数 攻击 


在 RSA 加 密 和 数字 签名 验证 中 ,如 果 选 取 了 较 低 的 e 值 可 以 加 快速 度 , 但 这 是 不 安全 
的 ,Hastad 证 明 如 果 采 用 不 同 的 模 数 ,相同 的 公 钥 e, 则 对 e(e 十 1)/2 个 线性 相关 的 消息 加 
密 , 系 统 安全 会 受到 威胁 。 如 果 消 息 比 较 短 , 或 者 消息 不 相关 ,就 不 存在 这 个 问题 。 如 果 消 
息 相 同 ,那么 只 要 有 一 个 消息 就 可 以 攻击 系统 。 一 般 来 讲 , 选 取 16 位 以 上 的 素数 速度 比较 
快 ,而 且 可 以 阻止 该 攻击 。 对 于 较 短 的 消息 ,使 用 独立 随机 值 填充 消息 ,可 以 阻止 该 攻击 ,这 
也 能 保证 mr mod n 天 mr。 

Machael Wiener 给 出 了 另外 一 种 攻击 ,可 以 成 功 地 计算 解密 指数 4, 前 提 是 满足 以 下 条 


-1 mod 7 一 2112 47 
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件 : 3 d<n%*, 并 且 gp 二 2g。 
4. 定时 攻击 


定时 攻击 主要 针对 RSA ,核心 运算 是 非常 耗 时 间 的 模 乘 , 只 要 能 精确 监视 RSA 的 解密 
过 程 ,获得 解密 时 间 , 就 可 以 估算 出 私有 和 密 钥 d4。 模 指数 运算 是 通过 一 位 一 位 来 计算 的 ,每 
次 迭代 执行 一 次 模 乘 ,并 且 如 果 当 前 位 是 1, 则 还 需要 进行 一 次 模 乘 。 对 于 有 些 密码 ,后 一 
次 模 乘 执行 速度 会 极 慢 ,攻击 者 就 可 以 在 观测 数据 解密 时 ,根据 执行 时 间 判断 当前 位 是 1 还 
是 0, 不 过 这 种 方法 只 是 理论 上 可 以 考虑 的 ,实际 操作 很 困难 。 如 果 在 加 密 前 对 数据 做 言 化 
处 理 , 再 进行 加 密 , 使 得 加 密 时 间 具 有 随机 性 ,最 后 进行 去 盲 ,这 样 可 以 抵抗 定时 攻击 ,不 过 
增加 了 数据 处 理 步 又 。 

RSA 算法 的 安全 性 主要 依赖 于 RSA 参数 的 选择 ,因此 需要 对 这 个 算法 中 的 各 个 参数 
仔细 选择 。 下 面 介绍 RSA 参数 的 选择 。 

p,q 选择 强 素数 ,否则 不 能 防御 某 些 特殊 的 因子 分 解 方法 。 假 设 p,g 不 是 强 素数 。 可 
以 假设 p 一 1 没有 大 的 素 因 子 ,p 一 1 二 p?…… p” ,其 中 p; 为 素数 ,ai 是 自然 数 (1 三 im)。 
可 以 设 p;(1 二 im) 二 A,A 为 一 较 小 的 整数 ,此 时 分 解 n 就 比较 容易 。 设 au (1 所; 过 
m) ,可 以 构造 B= 二 pi…… Pp” ,此 时 必 有 (p 一 1)1B。 由 费 马 定理 知道 ,2 二 1 mod p, 又 因为 
有 (pp 一 1)1B。 人 处理 z= 二 ymodn 如 下 ,可 以 把 zs 看 成 p 的 某 整数 倍加 1。 如 果 23 二 y mod 
n 中 ,y= 二 1, 则 把 z 换 成 3…… 直到 y 关 1。 那 么 ,gcd(y 一 1,n) 二 p, 因 为 y 应 该 为 p 的 某 整 
数 倍加 1。 由 此 可 以 求 出 p 与 qa。 

户 与 4 之 差 要 比较 大 ,否则 n 宅 (p 十 q)*/4 一 (p 一 9)*/4。 也 就 是 说 mn" 接近 (pp 十 q)/2， 
逐个 找 比 如 5 略 大 的 自然 数 N, 到 使 (N? 一 nn) 是 一 个 完全 平方 数 。 可 以 设 z= 二 NN’ 一 nn, 则 
7 一 售 : 一 z2 一 (N 十 z)C(N 一 z), 则 p=N—zx,g =N+zx。 

户 /1 与 g /1 的 最 大 公 因子 应 很 小 ,否则 ,RSA 有 可 能 在 不 需要 因子 分 解 时 即 可 被 攻 
破 ,p*/1 与 9/1 都 应 包含 大 的 素 因 子 。 

p,q 应 该 足够 大 ,使 得 在 计算 上 分 解 是 不 可 能 的 。 

gcd((p 一 1),(g 一 1)) 小 。 否 则 ,可 以 采用 和 迭代 方法 。 对 密 文 C= 二 M* mod n 反复 进行 e 
次 寡 的 运算 。cf yc< ,…… ;到 出 现 c 的 et 次 笑 modn 为 c 时 为 止 。 则 ce 的 e 熏 次 宕 mod 7 为 
M, 当 1 不 是 很 大 时 ,这 种 攻击 是 有 效 的 。 由 Eluer 定理 知 et 二 1 mod @(z) ,同样 由 Eluer 定 
理 ,i 的 最 小 值 有 4 二 BCB(n)) 二 GB((p 一 DCg 一 1)) ,如果 gcd((p 一 DD,(g 一 1)) 小 ,B(@B(n)) 
就 很 大 ,i 就 会 很 大 。 

e 不 可 选择 过 小 ,加 密 速度 快 但 可 以 采用 低 指数 攻击 。 在 C= 二 M* mod n 中 ,如 果 e 选择 
过 小 ,可 能 没有 模 的 运算 ,可 以 通过 直接 开平 方 得 到 。 一 般 选 择 使 e 二 1 mod B(n) 中 的 i 
尽 可 能 大 的 e。 

密 钥 d 的 选取 是 最 为 关键 的 ,应 使 g 之 N"s 且 越 大 越 好 ,这 是 因为 当 q 的 长 度 小 于 N 
的 长 度 的 0. 25 倍 时 ,攻击 者 可 能 通过 连 分 数 方法 在 多 项 式 时 间 内 求 出 &, 而 当 dN*” 时 ， 
攻击 者 只 能 采用 穷 举 攻击 法 ,车 d 较 小 , 则 显然 破译 困难 远 比 大 因子 分 解 的 难度 小 ,系统 被 
直接 攻破 的 可 能 性 较 大 。 另 外 ,d 又 不 能 太 接 近 e ,否则 RSA 密 钥 系统 较 容易 被 攻破 ,因为 
攻击 者 最 喜欢 从 比较 小 的 数 和 e 附近 进行 攻击 。 

用 户 不 能 使 用 相同 的 模 ,否则 任 一 用 户 的 被 分 解 ,可 通过 其 他 用 户 的 公 钥 求 出 其 
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私 钥 。 

明文 M 的 焙 要 尽 可 能 大 ,使 得 在 已 知 密 文 的 情况 下 ,要 猜测 明文 的 内 容 几 乎 是 不 可 
能 的 。 

由 以 上 所 述 ,RSA 的 全 部 保密 性 依赖 于 N 二 pxXg 分 解 的 难度 计算 ,是 一 个 大 因子 分 解 
问题 ,但 是 ,目前 并 不 能 从 理论 上 证 明 这 一 点 。 而 从 实践 的 角度 说 ,N 一 户 Xd 的 分 解 可 使 系 
统 完全 被 解密 。 再 有 ,即使 N 未 被 分 解 , 若 参数 选择 不 当 , 攻 击 者 也 完全 可 能 在 可 以 接受 的 
时 间 内 解密 ,主要 原因 是 明文 和 密 文 以 及 N 和 e 提供 了 另外 一 些 破解 信息 。 因 此 ,破译 
RSA 不 可 能 比 大 因子 分 解 更 困难 。 


63 Rabin 密码 系统 


Rabin 的 加 密 法 可 以 说 是 RSA 方法 的 特例 ,于 1979 年 由 Rabin 所 提出 ,其 困难 度 是 建 
立 在 mod n 下 找 出 平方 根 。 

Rabin 密码 体制 是 对 RSA 的 一 种 修正 , 它 有 两 个 特点 : Rabin 密码 体制 不 是 以 一 一 对 
应 的 单 向 限 门 函 数 为 基础 的 ,对 同一 密 文 ,可 能 有 两 个 以 上 对 应 的 明文 ; 破译 该 体制 等 价 于 
对 大 整数 的 分 解 。 

以 下 针对 密 钥 产 生 与 加 解密 程序 作 一 简介 。 


1. 密 钥 的 产生 


随机 选择 两 个 大 素数 pq, 满足 p 三 g 三 3 mod 4, 即 这 两 个 素数 形式 为 4k 十 3; 计算 "一 
PXg。 以 作为 公 钥 ,pg 作为 密 钥 。 


2. 加 密 
计算 密 文 c= 二 m* mod n。 其 中 mm 为 明文 ,c 为 密 文 。 


3. 解密 
解密 就 是 求 c 模 的 平方 根 ,由 中 国 剩余 定理 知 , 解 该 方程 组 等 价 于 解 方程 组 。 
rz: 二 cmodp 
2 二 cc modg 
由 于 p 夺 gq 寺 3 mod 4, 方 程 组 的 解 可 以 很 容易 地 求 出 ,其 中 每 个 方程 都 有 两 个 解 , 即 
XIX 三 m mod p, X=—mmodp 
TX 三 m modg, X=—m modg 


组 合 得 到 4 个 同 余 方 程 组 。 

I 三 m modp /Xz 三 m modp 

| 三 m mod g |。 三 一 m modg 
人 三 一 m modp 人 三 一 m mod p 


ZX 三 m modg 三 —m modg 
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由 中 国 剩余 定理 可 解 出 每 一 方程 组 的 解 ,共有 4 个 , 即 每 一 密 文 对 应 的 明文 不 唯一 。 为 
了 有 效 地 确定 明文 ,可 在 m 中 加 入 某 些 信息 ,如 发 送 者 的 身份 号 ,接收 者 的 身份 号 .日 期 和 
时 间 等 。 


64 ElGamal 密码 系统 


ElGamal 为 目前 著名 的 公开 密 钥 密码 系统 之 一 ,是 由 ElGamal 于 1985 年 提出 的 。 
ElGamal 密码 系统 可 作为 加 解密 、 数 字 签 章 等 之 用 ,其 安全 性 是 建立 于 离散 对 数 问题 的 。 


1. 密 钥 产生 


任 选 一 个 大 质数 p, 使 得 p 一 1 有 大 质 因子 。 

任 选 一 个 mod p 之 原 根 g。 

公布 Pp 与 g。 

使 用 者 任 选 一 私 钥 zxE Z, ,并 计算 公 钥 > 一 gs mod p。 


2. 加 密 


任 选 一 个 随机 数 rE DZ, 满足 gcd(r,p 一 1) 二 1, 并 计算 
a=g modp 
C2 二 MmXy mod pp (m 为 明文 ) 
密 文 为 {fcl ,cz ) 。 


3. 解密 


计算 w= (cf)7! mod p。 

计算 明文 m==cs Xw mod p。 

破解 EIGamal 公 钥 密码 系统 最 直接 的 办 法 是 计算 离散 对 数 。 当 p 一 1 所 有 的 因子 都 是 
小 素数 时 ,可 以 采用 Pohlig-Hellman 算法 。 此 外 可 以 仿照 因子 分 解 算法 引入 因子 库 , 先 计 
算 因子 库 中 素数 的 离散 对 数 ,然后 计算 期 望 元 素 8 的 离散 对 数 , 这 是 比较 有 效 的 指标 计算 
方法 。 

ElGamal 公 钥 密码 系统 可 以 在 任何 循环 群 上 实现 。 选 择 群 的 标准 是 : 群 中 的 运算 容易 
实现 ,以 保证 有 效 性 ; 群 中 离散 对 数 问题 在 计算 上 是 困难 的 ,以 保证 安全 性 。 

ElGamal 方法 具有 以 下 优点 : 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 ; 同 
一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ( 机 率 式 密 码 系统 ), 但 
ElGamal 方法 的 计算 复杂 度 比 RSA 方法 要 大 。 

目前 最 受 关注 的 群 是 定义 在 有 限 域 上 椭圆 曲线 的 点 所 构成 的 循环 群 。 椭 圆 曲 线 公 钥 密 
码 系统 是 蔡 代 RSA 公 钥 密码 系统 的 最 佳 选择 。 它 比 RSA 和 有 限 域 上 的 公 钥 密码 系统 更 加 
有 效 。 因 为 要 达到 1024 位 RSA 安全 水 平 ,椭圆 曲线 公 钥 密码 系统 只 要 163 位 数 上 的 运算 
就 足够 了 。 虽 然 这 里 运算 比 素 数 域 的 模 运 算 要 复杂 ,但 是 密 钥 要 短 很 多 。 椭 圆 昌 线 群 的 另 
一 个 特点 是 对 同样 的 基 域 可 以 选择 不 同 的 椭圆 曲线 ,而 这 些 不 同 的 椭圆 曲线 可 采用 相同 的 
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芯片 来 实现 域 的 运算 。 


65 椭圆 曲线 密码 系统 


椭圆 曲线 密码 学 (Elliptic Curve Cryptography, ECC) 是 基于 椭圆 曲线 数学 的 一 种 公 钥 
密码 方法 。1985 年 , Neal Koblitz 和 Victor Miller 分 别 独立 提出 了 椭圆 曲线 密码 体制 
(ECC) ,其 依据 就 是 定义 在 椭圆 曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 

ECC 被 广泛 认为 是 在 给 定 密 钥 长 度 的 情况 下 ,最 强大 的 非 对 称 算法 ,因此 在 对 带宽 要 
求 十 分 紧 的 连接 中 会 十 分 有 用 。 

ECC 的 主要 优势 是 在 某 些 情况 下 比 其 他 方法 使 用 更 小 的 密 钥 一 一 比如 RSA 一 一 提供 
相当 的 或 更 高 等 级 的 安全 。ECC 的 另 一 个 优势 是 可 以 定义 群 之 间 的 双 线 性 映射 ,基于 Weil 
对 或 是 Tate 对 ; 双 线 性 映射 已 经 在 密码 学 中 发 现 了 大 量 的 应 用 ,例如 基于 身份 的 加 密 。 不 
过 一 个 缺点 是 加 密 和 解密 操作 的 实现 比 其 他 机 制 花费 的 时 间 长 。 

国家 标准 与 技术 局 和 ANSI X9 已 经 设 定 了 最 小 密 钥 长 度 的 要 求 ,RSA 和 DSA 是 1024 
位 ,ECC 是 160 位 ,相应 的 对 称 分 组 密码 的 密 钥 长 度 是 80 位 。NIST 已 经 公布 了 一 列 推荐 
的 椭圆 曲线 用 来 保护 5 个 不 同 的 对 称 密 钥 大 小 (80,112,128,192,256)。 一 般 而 言 ,二 进 制 
域 上 的 ECC 需要 的 非 对 称 密 钥 的 大 小 是 相应 的 对 称 密 钥 大 小 的 两 倍 。 

椭圆 曲线 密码 学 的 许多 形式 有 稍微 的 不 同 , 所 有 的 都 依赖 于 被 广泛 承认 的 解决 椭圆 曲 
线 离散 对 数 问题 的 困难 性 上 ,对 应 有 限 域 上 椭圆 曲线 的 群 。 


5.5.1 相关 概念 


无 穷 远 元 素 (无 穷 远 点 ,无穷 远 直线 ) 平 面 上 任意 两 相 异 直线 的 位 置 关 系 有 相交 和 平行 
两 种 。 引 入 无 穷 远 点 ,是 两 种 不 同 关系 的 统一 。AB1L, L/Li, 直 线 AP 由 AB 起 绕 A 
点 依 逆 时 针 方向 转动 ,P 为 AP 与 Li 的 交点 ,如 图 5-3 所 示 。Q= 二 人 人 BAP 一 x /2 则 AP 一 
Ls ,可 设想 Li 上 有 一 点 P- , 它 为 L 和 Li; 的 交点 , 称 之 为 无 穷 远 点 。 直 线 L! 上 的 无 穷 远 
点 只 能 有 一 个 (因为 过 A 点 只 能 有 一 条 平行 于 Li 的 直线 工 ; .而 两 直线 的 交点 只 能 有 一 个 )。 


图 5-3 无 穷 远 点 


所 以 ,平面 上 一 组 相互 平行 的 直线 ,有 公共 的 无 穷 远 点 (为 与 无 穷 远 点 相 区 别 , 把 原来 平 
面 上 的 点 叫做 平常 点 )。 

平面 上 任何 相交 的 两 直线 Li ,Ls 有 不 同 的 无 穷 远 点 。 原 因 : 车 否 , 则 Li 和 L*。 有 公共 
的 无 穷 远 点 P- , 则 过 两 相 异 点 A 和 PP- 有 相 异 的 两 直线 ,与 公理 相 矛 盾 。 

全 体 无 穷 远 点 构成 一 条 无 穷 远 直线 。 

欧式 平面 添加 上 无 穷 远 点 和 无 穷 远 直线 ,自然 构成 射影 平面 ,如 图 5-4 所 示 。 
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加 四 


图 5-4 欧式 平面 


齐 次 坐标 ,解析 几何 中 引入 坐标 系 , 用 代数 的 方法 研究 欧 氏 空间 。 这 样 的 坐标 法 也 可 推 
广 至 摄影 平面 上 ,建立 平面 摄影 坐标 系 。 
平面 上 两 相 异 直线 Li ,L; ,其 方程 分 别 为 
Li: azrztbhyta=0 
Lz: az 十 by 十 cz 一 0 
其 中 a1,b 不 同时 为 0; az ,bs 也 不 同时 为 0。 


a bi 


bl cl 
bs cs C2 Q2 

若 D 关 0, 则 两 直线 Li ,Ls 相交 于 一 平常 点 P(x,y), 其 坐标 为 z= Dx/D,y= Dy/D。 
这 组 解 可 表示 为 z/Dzx 二 y/Dy 二 1/D( 约 定 : 分 母 Dz,Dy 有 为 0 时 ,对 应 的 分 子 也 要 为 0) 。 
上 述 表 示 可 抽象 为 (Dx,Dy,D)。 

车 DD=0, 则 LNAL, 此 时 L 和 工 : 交 于 一 个 无 穷 远 点 P- 。 这 个 点 P- 可 用 过 原点 O 
且 平 行 于 Ls 的 一 条 直线 工 来 指出 他 的 方向 ,而 这 条 直线 工 的 方程 就 是 : asz 十 bsy 王 0。 

为 把 平常 点 和 无 穷 远 点 的 坐标 统一 起 来 ,把 点 的 坐标 用 (X,Y,Z) 表 示 ,X,Y,Z 不 能 同 
时 为 0, 且 对 平常 点 (zx,y) 来 说 ,有 2Z0,zx 二 XX/Z,y 二 Y/2Z, 于 是 有 

.0 fp Sb sp 0 


Dzr Dy D 

X/Dz 二 Y/Dy 二 Z/D, 有 更 好 的 坐标 抽象 (X,Y,2Z) ,这 样 对 于 无 穷 远 点 则 有 Z 二 0 也 成 立 。 

若 实数 p 隆 0, 则 (pX,pY,p2Z) 与 (X,Y,2Z) 表 示 同 一 个 点 ,实质 上 用 (X:Y:2) 表 示 。 三 
个 分 量 中 ,只 有 两 个 是 独立 的 ,具有 这 种 特征 的 坐标 就 叫 齐 次 坐标 。 

设 有 欧 氏 直线 工 , 它 在 平面 直角 坐标 系 Ozy 上 的 方程 为 az 十 by 十 c=0, 则 工 上 任 一 平 
常 点 (x,y) 的 齐 次 坐标 为 (X,Y,2Z),Z 取 0, 代 入 得 az 十 by 十 cz 二 0。 给 工 添加 的 无 穷 远 点 的 
坐标 (X,Y,2) 应 满足 at 十 by 二 0,x 二 0; 平面 上 无 穷 远 直线 方程 自然 为 > 一 0。 

K 为 域 ,K 上 的 摄影 平面 P*(K) 是 一 些 等 价 类 的 集合 {(X:Y;2Z)}。 考 虑 下 面 的 
Weierstrass 方程 (次 数 为 3 的 齐 次 方程 ) : 

yz 二 aryz 二 asyz? = T3 十 aszzz 十 a4zz2 十 aez3 

其 中 ,系数 a;EK, 或 a;EK 为 K 的 代数 闭 域 。 

Weierstrass 方程 被 称 为 光滑 的 或 非 奇异 的 是 指 对 所 有 适合 以 下 方程 的 射影 点 P= 二 (X: 
Y:Z) EP?(K) 来 说 ， 

F(zyy,z) 一 多 z 十 aizyz 十 asyz2 一 23 一 azz2z 一 Q4Tz2 一 a6z3 一 0 


在 也 点 的 三 个 偏 导数 之 中 至 少 有 一 个 不 为 0, 若 否 称 这 个 方程 为 奇异 的 。 


Cl a 


设 D= Drz = 


az bs 
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5.5.2 椭圆 曲线 
椭圆 曲线 E 是 一 个 光滑 的 Weierstrass 方程 在 P*(K) 中 的 全 部 解 集合 。 


yz aryz tasyz’ 一 Ta 十 azz2z 十 azz2 + ae’ 
在 椭圆 曲线 玉 上 惟有 一 个 点 , 称 之 为 无 穷 远 点 , 即 (0:1:0) 用 0 表示。 椭圆 曲 线 的 研究 
来 源 于 椭圆 积分 : 


| dz , 
VECz) 
这 里 ,E(xz) 是 x 的 三 次 多 项 式 或 四 次 多 项 式 。 这 样 的 积分 不 能 用 初等 函数 来 表达 ,为 此 引 
进 所 谓 的 椭圆 函数 。 所 谓 椭 圆 曲 线 指 的 是 韦 尔 斯 特 拉 斯 (Weierstrass) 方 程 ,可 用 非 齐 次 坐 
标的 形式 来 表示 , 设 z= 二 X/Z,y 二 Y/Z, 于 是 原 方程 可 转化 为 

y+azytasy = zx tar tarta (5-1) 
此 时 ,椭圆 曲线 羽 就 是 方程 式 (5-1) 在 射影 平面 P*(K) 上 的 全 部 平常 点 解 ,外 加 一 个 无 穷 远 
点 0 组 成 的 集合 。 

若 a1,a2,a3,ars vas EK, 此 时 椭圆 曲线 EE 被 称 为 定义 在 K 上 ,用 E/K 表示 。 如 果 巨 能 
被 限定 在 K 上 ,那么 玉 的 K 一 一 有 理 点 集合 表示 为 E(K), 它 为 EE 中 全 体 有 理 坐 标点 的 集 
合 外 加 无 穷 远 点 0。 

实 域 R 上 的 椭圆 曲线 : 设 二 R, 此 时 的 椭圆 曲线 可 表 为 平面 中 通常 曲线 上 的 点 ,外 加 
无 穷 远 点 0。 实 域 R 上 椭圆 曲线 的 点 的 加 法 运算 法 则 ， 

设 L EP*(R) 为 一 条 直线 。 因 为 EE 的 方程 是 三 次 的 ,所 以 L 可 与 E 在 P*(R) 恰 有 三 个 
交点 , 记 为 P.Q、R( 注 意 ,如 果 工 与 E 相 切 ,那么 PQ、R 可 以 不 是 相 异 的 )。 按 下 述 方式 定 
义 巨 上 的 运算 由 。 

设 P.Q € EE,L 为 连接 P、Q 的 直线 ( 若 P=Q, 则 工 取 过 尸 点 的 切线 ); 设 R 为 L 与 E 
的 另 一 个 交点 ; 再 取 连 接 R 与 无 穷 远 点 的 直线 也, 则 二 与 忆 的 另 一 个 交点 定义 为 P 中 Q。 


2 
2 
Peo 
受 
(PeO) ©R=0 Ter-0 r 
9 (P=Q=R) 
(a) (b) 


5-5 ”交点 示意 图 


以 上 的 实际 图 像 为 椭圆 曲线 y* 二 zx 一 z 的 一 般 化 ,来 自 对 具体 曲线 的 抽象 ,对 运算 更 具 
体 一 些 。 
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设 P 一 (zy),Q 一 (zy),P 四 Q=(zs,y), 由 P@Q 的 定义 , 设 > 一 cz 十 B 为 通过 
P,Q 两 点 直线 工 的 方程 ,可 算出 
a 一 (y —y)/(z— x), B= yar 
易 见 ,直线 工 上 的 一 个 点 (zaz 十 有 是 在 椭圆 曲线 已 上 , 当 且 仅 当 
(ar 十 及 = zx, POQ= (ry) 由 (zy) 王 (zyys) 一 (zs 一 (ars 十 D)) 
其 中 ,zs 三 as 一 x1 一 zz 二 ((y2—y1) / (zz 一 Zi))2 一 zi 一 Z23 
ys yt((ys—y)/rs CO—7z1)) (x — x3) 
当 P=Q 时 ,PBQ= (xs,ys) 算 得 
Xa ((3712—1)/2y1)2—2z1; ys Ni 二 (C3z2— 1)/2y) (zr 一 zs) 
有 结论 为 : 
(1) 如 果 直 线 工 与 E 相交 与 三 点 P,Q,R( 不 一 定 相 异 ) ,那么 (PQ)R=0( 从 图 5-5 
(a) 中 可 见 ); 
(2) 任 给 PEE,P@0 二 P( 此 时 设 Q= 0, 易 见 L 二 LL'); 
(3) 任 给 P,QEE 有: POQ=QP; 
(4) 设 PEE, 那 么 可 以 找到 一 PEE 使 P@ 一 P=0; 
(5) 任 给 P,Q,REE, 有 (PBQ)@®BR=P@(QODR); 
车 PP 二 Q 二 R, 则 如 图 5-5(b) 所 示 。 
综 上 所 述 , 知 下 对 四 运算 形成 一 个 Abel 群 。 
上 述 规 则 可 开拓 到 任意 域 上 ,特别 是 有 限 域 上 。 假 定 椭圆 曲线 是 定义 在 有 限 域 Fg 上 
(g 二 pm) ,那么 : 
E(Fq)={(x,y)EFqX Fg | y+arrytasy=z 二 asx 十 qx 十 as》U {0), 它 对 外 形成 
一 个 群 ,为 Abel 群 。 
令 Fg 表示 g 个 元 素 的 有 限 域 ,用 E(Fg) 表 示 定 义 在 Fg 上 的 一 个 椭圆 曲线 EE。E(Fg) 
的 点 数 用 #E(Fg) 表 示 , 则 | #E(Fg) 一 g 一 1| 二 2g'。 
Fp( 素 域 ,p 为 素数 ) 上 椭圆 曲线 , 令 p 二 3.a.5E Fp, 满 足 4as 十 275? 关 0, 由 参数 a 和。 
定义 的 Fp 上 的 一 个 椭圆 曲线 方程 为 
y =z +ar++b (5-2) 
它 的 所 有 解 (x,y) (rE Fp,y€E Fp), 连 同一 个 称 为 “无 穷 远 点 ”( 记 为 0) 的 元 素 组 成 的 
合 记 为 E(Fp), 由 Hass 定理 知 : p 十 1 一 2p* 志 #E(Fp) 三 p 十 1 十 2p'“ 集 合 E(Fp) 对 应 
下 面 的 加 法 规则 , 且 对 加 法 四 形成 一 个 Abel 群 : 
(1) bb 一 0( 单 位 元 素 ); 
(2)(z,y)B0= (x,y), 任 给 (x,y) EE(Fp); 
(3)(z,y) 田 (zr, 一 y)= 二 0, 任 给 (x,y)EE(FpP), 即 点 (x,y) 的 道 元 为 (x ,一 y); 
(4) 令 (zi,y1),(zs ,yz) 为 E(Fp) 中 的 非 互 逆 元 , 且 满 足 zi 隆 zz 的 两 点 , 则 (zi ,yi )® 
(zs,y2) 二 (zs,y3), 其 中 


Ts 一 和 2 一 2 一 Zaz E 
，A 一 将 沁 (5=3) 
ys 二 MA(Czl 一 Za) 一世 


(5) ( 售 点 运算 规则 ) 设 (zi ,yw ) EECFp) ,wm 天 0, 则 2Cz,y) 一 (zs,ys), 其 中 
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而 三 昱 一 2 二 3 过 十 < 
ys = 2y1 
车 #E(Fp) 二 p 十 1, 有 曲线 EE(Fp) 称 为 超 奇异 的 ,否则 称 为 非 超 奇异 的 。 
例如 : Fs 上 的 一 个 椭圆 曲线 , 令 y* 二 zz 十 z+ 十 1 是 Fs 上 的 一 个 方程 (a 二 5 二 1), 则 该 椭 
圆 曲线 方程 在 Fs 上 的 解 为 (y= 二 十 x 十 1 的 点 ) 
OT DU DG Ey DG 6J GB 01 Ge eg ED A A RA Dd 1 
DA DE A bo Ge A :Yi Ed Be LD RG DR A RE 
3) X17,20),t18,3),(18,20)5(19,5)(19518)s.0; 
群 E(Fss) 有 28 个 点 (包括 无 穷 远 点 0) 。 


5.5.3 利用 ElGamal 的 椭圆 曲线 加 密 法 


1. 密 钥 产生 


令 系统 公开 参数 为 一 个 椭圆 曲线 及 模 数 p 。 使 用 者 执行 : 
任 选 一 个 整数 ,0 二 k 二 p。 

任 选 一 个 点 AEE, 并 计算 B=kA。 

公 钥 为 (A,B), 私 钥 为 k。 

注 : 从 (A,B) 中 去 推导 &A 相当 于 计算 离散 对 数 问题 。 


2. 加 密 程序 


令 明 文 M 为 已 上 的 一 点 。 首 先 任 选 一 个 整数 ~E Zr ,然后 计算 密 文 (C ,Cs: ) 一 (rA， 
M 十 rB)。 注 : 密 文 为 两 个 点 。 


3. 解密 程序 


计算 明文 M=C: 一 ACi 。 

例如 : p= 二 11,E: y: 二 zx? 十 x 十 6 mod 11 

A=(2,7), k=7—>B=7A= (7,2) 

令 M=(10,9) , 任 选 的 一 3, 则 
CC:) = (rA ,M+rB) = (3(2,7),(10,9) 十 3(7,2)) = ((8,3),(10,2))( mod 11) 

解密 时 ,计算 明文 如 下 : 

M= C: 一 7C = (10,2) 一 7(8,3) = (10,2) 一 (3,5) 
一 (10,2) 十 (3,6) = (10,9)( mod 11) 


5.5.4 利用 Menezes-Vanstone 的 椭圆 曲线 加 密 法 


1. 密 钥 产生 


令 系 统 公开 参数 为 一 个 椭圆 曲线 已 及 模 数 p 。 使 用 者 执行 : 
任 选 一 个 整数 &,0 二 k 二 p。 
任 选 一 个 点 AEE, 并 计算 B= 二 kA。 
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公 钥 为 (A,B) , 私 钥 为 &。 
2. 加 密 程序 


令 明 文 M= (ma ,maz ) 不 需要 在 下 上 。 
任 选 一 个 数 ~rE Za ,其 中 为 下 所 包含 的 一 个 循环 子 群 。 
计算 密 文 (Cu,C:) ,其 中 ， 

C=rA 

Y= (yy)=rB 

Cs = (ca1vc22) = (y1 Xm mod p,ys Xm mod p) 


3. 解密 程序 


计算 Z= (zi ,z,)==kC) 。 
计算 明文 M= (co Xzi' mod psczs Xzi! mod p)。 


5.5.5 椭圆 曲线 共享 秘密 推导 机 制 


椭圆 曲线 共享 秘密 推导 机 制 ,主要 是 针对 IEEE 1363 中 的 ECSVDP-DH、ECSVDP- 
DHC、ECSVDP-MQV, 与 ECSVDP-MQVC, 说 明 其 中 的 运作 机 制 。IEEE 1363 中 定义 一 般 
密 钥 协议 操作 如 下 : 

(1) 建立 一 个 或 多 组 有 效 领域 参数 ,其 中 双方 密 钥 对 应 与 这 些 参数 相关 。 

(2) 选择 一 个 或 更 多 个 与 领域 参数 有 关联 的 有 效 私 钥 。 

(3) 取得 一 个 或 更 多 个 对 方 辅助 的 公 钥 。 

(4) 视 步 骤 (5) 的 密码 运算 (Cryptographic Operation) 而 定 ,决定 一 个 适合 的 方法 来 验 
证 公 钥 参数 。 若 验证 失败 , 则 输出 “无 效 ” 并 且 停 止 执行 。 

(5) 使 用 特定 的 密码 运算 于 私 钥 及 公 钥 ,以 产生 一 个 共享 秘密 值 。 

(6) 为 了 要 统一 一 把 共享 密 钥 , 则 要 建立 或 统一 密 钥 推 衍 参 数 并 从 共享 秘密 值 推 衍 出 
一 把 共享 密 钥 ,及 使 用 密 钥 推 衍 函 数 (Key Derivation Function) 推 衍 出 密 钥 推 衍 参 数 。 

需要 特别 注意 的 是 : 

(1) 一 密 钥 对 的 重复 使 用 视 实际 而 定 , 任 何 一 方 可 能 会 使 用 一 个 给 定 的 私 钥 / 公 钥 对 进 


行 多 次 的 密 钥 协 议 运 算 。 
(2) 拥有 者 的 鉴别 : 获得 对 方 公 钥 可 能 包括 公 钥 拥 有 者 的 鉴别 ,这 可 透 过 凭证 或 其 他 
方法 来 验证 。 


(3) 领域 参数 与 密 钥 验证 : 因为 一 个 密 钥 协议 的 方法 假设 领域 参数 与 公 钥 皆 为 有 效 ， 
所 以 在 该 方法 里 并 没有 定义 验证 领域 参数 的 方法 。 除 非 领域 参数 与 公 钥 为 无 效 情形 的 机 率 
很 低 ,否则 建议 执行 密 钥 协议 的 步骤 (4) 。 

(4) 密 钥 推 衍 参 数 : 视 密 钥 推 衔 函 数 而 定 , 可 使 用 的 密 钥 推 衍 参数 可 能 会 有 安全 相关 
的 限制 ,例如 这 些 参数 可 包含 密 钥 规格 信息 ,协议 相关 公开 信息 ,补充 及 私密 信息 。 为 了 安 
全 考虑 ,这 些 参 数 的 说 明 必须 明确 。 


第 5 章 ” 公 钥 密 码 技术 


5.5.6 椭圆 曲线 密码 体制 的 优点 


与 基于 有 限 域 上 离散 对 数 问题 的 公 钥 体制 (如 Diffie-Hellman 密 钥 交换 和 ElGamal 密 
码 体制 ) 相 比 , 椭 圆 曲 线 密码 体制 有 以 下 优点 。 


1. 安全 性 高 


攻击 有 限 域 上 的 离散 对 数 问题 可 以 用 指数 积分 法 ,其 运算 复杂 度 为 O(exp VClog p) 
(log log p)*) ,其 中 p 是 模 数 (为 素数 )。 而 它 对 椭圆 曲线 上 的 离散 对 数 问题 并 不 有 效 。 目 
前 攻击 椭圆 曲线 上 的 离散 对 数 问题 的 方法 只 有 适合 攻击 任何 循环 群 上 离散 对 数 问题 的 大 步 
小 步 法 ,其 运算 复杂 度 为 Olexp(log VPssx )) ,其 中 ,Pw 是 椭圆 曲线 所 形成 的 Abel 群 的 阶 
的 最 大 素 因 子 。 因 此 ,椭圆 曲线 密码 体制 比 基 于 有 限 域 上 的 离散 对 数 问题 的 公 钥 体制 更 
安全 。 


2. 密 钥 量 小 


由 攻击 两 者 的 算法 复杂 度 可 知 ,在 实现 相同 的 安全 性 能 条 件 下 ,椭圆 曲线 密码 体制 所 需 
的 密 钥 量 远 比 基 于 有 限 域 上 的 离散 对 数 问题 的 公 钥 体 制 的 密 钥 量 小 。 


3. 灵活 性 好 


在 有 限 域 GF(g) 一 定 的 情况 下 ,其 上 的 循环 群 ( 即 GF(g) 一 10)) 就 定 了 。 而 GF(g) 上 
的 椭圆 曲线 可 以 通过 改变 曲线 参数 ,得 到 不 同 的 曲线 ,形成 不 同 的 循环 群 。 因 此 ,椭圆 曲线 
具有 丰富 的 群 结构 和 多 选择 性 。 

正 是 由 于 椭圆 曲线 具有 丰富 的 群 结构 和 多 选择 性 ,并 可 在 保持 和 RSA/DSA 体制 同样 
安全 性 能 的 前 提 下 大 大 缩短 密 钥 长 度 (目前 160 比特 足以 保证 安全 性 ), 因 而 在 密码 领域 有 
着 广阔 的 应 用 前 景 。 


习题 


1. 公 钥 密码 体制 的 三 种 应 用 是 什么 ? 

2. 在 公 钥 密码 体制 中 ,哪些 参数 是 可 以 公开 的 ? 哪些 参数 是 必须 保密 的 ? 

3. 在 使 用 RSA 的 公 钥 体制 中 ,已 截获 发 给 某 用 户 的 密 文 C= 10 ,该 用 户 的 公 钥 e 二 5， 
7 一 35, 那 么 明文 M 等 于 多 少 ? 

4. 在 RSA 密码 体制 中 , 某 给 定 用 户 的 公 钥 e 二 31,n 二 3599, 那 么 该 用 户 的 私 钥 等 于 
多 少 ? 
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序列 密码 ( 流 密 码 ) 是 密码 学 中 一 个 重要 的 密码 体制 。 它 的 起 源 可 以 追溯 到 20 世纪 20 
年 代 的 Vernam 体制 , 即 古典 密码 学 中 的 Vernam 体制 。 将 明文 流 和 密 文 流 都 转化 成 二 进 
制 , 然 后 进行 异 或 处 理 , 但 是 Vernam 体制 每 次 加 密 的 密 钥 量 都 是 相同 的 ,这 很 容易 被 破译 。 
1949 年 ,Shannon( 香 农 ) 证 明了 只 有 一 次 一 密 的 密码 体制 是 绝对 安全 的 。 这 给 序列 密码 技 
术 以 强 有 力 的 支持 ,序列 密码 就 是 模仿 “一 次 一 密 ” 进 行 设计 的 。 

序列 密码 属于 “一 次 一 密 ”, 但 每 次 加 解密 的 密 钥 是 相同 的 ,可 以 将 其 归结 为 分 组 密码 的 
一 种 形式 ,相对 于 分 组 密码 ,序列 密码 的 特点 是 : 

(1) 分 组 密码 以 固定 大 小 的 分 组 作为 每 次 处 理 的 单元 ,而 序列 密码 则 是 以 每 次 一 个 元 
素 (一 个 字母 或 者 一 个 比特 ) 作 为 基本 单元 ; 

(2) 分 组 密码 的 加 密 特 性 不 随时 间 而 变化 ,扩散 性 好 ,但 是 加 解密 处 理 速度 慢 ,而 序列 
密码 是 一 个 随时 间 变 化 的 加 密 变换 ,扩散 性 不 够 好 ,但 是 加 解密 速度 快 ; 

(3) 分 组 密码 相对 复杂 ,而 序列 密码 具有 软件 实现 简单 ,同时 还 便于 硬件 实现 。 


6.1 序列 密码 模型 


如 何 做 到 “一 次 一 密 ”。 

如 果 每 次 加 密 的 密 钥 都 是 随机 产生 的 ,就 可 以 保证 “一 次 一 密 ”。 但 是 如 果 加 密 密 
钥 是 随机 的 ,如 何 确保 解密 也 是 相同 的 呢 ? 需要 同步 处 理 , 即 在 保密 通道 中 进行 同步 
处 理 。 

根据 加 密 过 程 是 否 依 赖 于 明文 字符 ,序列 密码 分 为 同步 和 自 同步 两 种 。 如 果 独 立 于 明 
文字 符 叫做 同步 序列 密码 ,如 图 6-1 所 示 ; 否则 叫做 自 同步 序列 密码 ,如 图 6-2 所 示 。 


保密 信道 
密 钥 流 生成 嘎 | 一 一 一 一 -一 一 一 -一 一 -一 | 客流 生成 
密 
和 5 
流 入 
Po 
明文 流 。 人 密 文 流 公共 信道 密 文 流 明文 流 
~ 各 ‘i -- 一 -一 一 ee > 


6-1 同步 序列 密码 
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保密 信道 
密 角 流 生成 器 | 二 中 如 入 一 「 密 明 流下 成 器 
钥 钥 
流 流 
吕 X 交 Gf 窗 广 流 公共 信道 密 文 流 明文 流 


图 6-2 自 同步 序列 密码 


在 同步 序列 密码 中 ,如 果 传 输 过 程 一 个 密 文 发 生 丢 失 , 那 么 之 后 的 解密 将 失败 。 收 发 双 
方 必须 重新 同步 , 即 从 丢失 的 密 文字 符 开始 ,收发 双方 的 密 钥 流 生成 器 重新 从 一 个 相同 的 初 
态 开 始 同 步 。 

在 自 同 步 序列 密码 中 ,如 果 传输 过 程 一 个 密 文 发 生 丢 失 , 只 会 导致 相应 的 若干 位 解密 错 
误 ,不 会 影响 后 续 位 的 解密 。 从 这 个 意义 上 讲 , 自 同步 序列 密码 是 优 于 同步 序列 密码 的 ,但 
是 自 同步 序列 密码 的 密 钥 流 与 明文 有 关 , 这 在 实际 加 密 中 存在 诸多 实际 问题 ,所 以 目前 大 多 
数 的 研究 成 果 主 要 还 是 同步 序列 密码 。 


6.2 随机 性 


序列 密码 的 安全 性 取决 于 密 钥 流 的 安全 性 ,希望 密 钥 流 有 尽 可 能 大 的 周期 ,至 少 应 和 明 
文 的 长 度 相 同 ,并 且 具 有 随机 性 ,以 使 密码 分 析 者 对 它 无 法 预测 。 也 就 是 说 ,即使 截获 其 中 
一 段 ,也 无 法 推测 后 面 的 序列 。 如 果 密 钥 流 是 周期 的 ,要 完全 做 到 随机 是 不 现实 的 ,只 能 要 
求 截获 比 周期 短 的 一 段 时 不 会 泄露 更 多 的 信息 ,这样 的 序列 称 为 伪 随 机 序列 。 

对 于 0-1 序列 来 说 ,如 何 定义 随机 性 。 如 果 掷 1000 次 硬币 ,每 次 都 是 正面 ,不 能 称 之 为 
随机 性 。 正 反面 的 概率 应 该 是 差不多 的 , 即 等 概率 事件 。 

这 里 涉及 三 个 概念 , 即 周期 .游程 和 异 相 自 相关 函数 。 

对 序列 来 讲 ,周期 是 重复 一 个 序列 的 最 小 者 ,如 序列 001011100101110010111, 周 期 是 
最 小 的 序列 0010111, 即 周期 为 7。 

在 序列 的 一 个 周期 中 , 形 如 100…001 的 一 段 ,叫做 0 游程 。 若 0 的 个 数 为 ~, 叫做 长 为 
六 的 0 游程 , 记 为 0 的 一 游程 。 

同 理 , 形 如 011…110 的 一 段 ,叫做 1 游程 。 若 1 的 个 数 为 ,叫做 长 为 7 的 1 游程 , 记 为 
1 的 斑 游程 。 

在 上 述 周 期 为 7 的 序列 0010111 中 ,包含 : 1 个 0 的 2- 游程; 1 个 1 的 1- 游 程 ; 1 个 0 
的 1- 游程 ; 1 个 1 的 3- 游 程 。 

异 相 自 相关 函数 R. 可 以 表示 为 


R. = 至 一 1 (6-1) 
其 中 ,ze 是 延迟 r 个 比特 后 的 序列 与 原 序列 相同 比特 的 个 数 。 


例如 ,对 于 序列 0010111 ,延迟 1 个 比特 后 的 序列 为 1001011,n. 二 3。 
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针对 伪 随 机 序列 ,Golomb 提出 了 一 个 0-1 序列 (一 个 周期 P) 的 三 条 假设 : 
(1) 若 为 偶数 , 则 0 和 1 的 个 数 相 同 , 若 忆 为 奇数 , 则 0 和 1 的 个 数 相差 1; 


(2) 六 游程 个 数 占 总 游程 个 数 的 过 。 


(3) 异 相 自 相关 函数 是 一 个 常数 。 
满足 这 些 假设 并 不 足以 说 明 该 序列 是 伪 随 机 序列 ,但 这 些 是 基本 要 求 。 
例 6-1 讨论 一 个 周期 内 序列 010011010001100111 的 随机 性 。 
解 : (1) 周期 18,0 的 个 数 为 9,1 的 个 数 为 9。 
(2)0 的 1 游程 有 2 个 ,1 的 1 游程 2 个 ; 
0 的 2 游程 有 2 个 ,1 的 2 游程 有 2 个 ; 
0 的 3 游程 有 1 个 ,1 的 3 游程 有 1 个 ; 
即 1 游程 共有 4 个 , 占 总 游程 的 比例 为 4/10 取 1/2。 
为 了 进一步 证 明 该 序列 的 随机 性 ,计算 异 相 自 相关 函数 。 
2X9 


(3) RGD)= 邱 人 一 1 一 0 
= 1 
三 一 一 全 
a 
Re 


即 异 相 自 相关 函数 不 是 一 个 常数 。 所 以 该 序列 不 是 伪 随 机 序列 。 
例 6-2 讨论 一 个 周期 内 序列 1010111011000111110011010010000 的 随机 性 。 
解 : (1) 周期 31,0 的 个 数 为 15 ,1 的 个 数 为 16。 
(2) 0 的 1 游程 有 4 个 ,1 的 1 游程 有 4 个 ; 
0 的 2 游程 有 2 个 ,1 的 2 游程 有 2 个 ; 
0 的 3 游程 有 1 个 ,1 的 3 游程 有 1 个 ; 
0 的 4 游程 有 1 个 ,1 的 4 游程 有 0 个 ; 
0 的 5 游程 有 0 个 ,1 的 5 游程 有 1 个 ; 
即 总 游程 为 16 ,其 中 1 游程 共有 8 个 , 占 总 游程 的 比例 为 1/2; 
2 游程 共有 4 个 , 占 总 游程 的 比例 为 1/4; 
3 游程 共有 2 个 , 占 总 游程 的 比例 为 1/8; 
4 游程 共有 1 个 , 占 总 游程 的 比例 为 1/16; 
5 游程 共有 1 个 , 占 总 游程 的 比例 为 1/16 。 
( 注 : 按照 第 二 条 假设 ,5 游程 应 该 有 0. 5 个 ,不 符合 规则 ,所 以 只 考虑 大 于 1 的 情况 ) 


XU 重 

(3) ROD)= 闻 二 一 1 一 去 
-2X15 1- 工 
RC) 一 22 世 一 1 一 一 二 
R(3)=2<1_1=—. 
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_2x15 ,，_ _ 1 
有 (30) 一 31 1= 31 


即 异 相 自 相关 函数 是 一 个 常数 。 所 以 该 序列 是 伪 随 机 序列 。 


6.3 线性 反馈 移 位 寄存 器 


序列 密码 的 关键 是 设计 一 个 随机 性 好 的 密 钥 流 生 成 器 。1965 年 ,挪威 的 密码 学 家 提出 
了 移 位 寄存 器 理论 ,是 随机 流 的 主要 数学 工具 。 

移 位 寄存 器 是 指 具有 存储 数据 和 移 位 功能 的 寄存 器 ,如 果 有 个 存储 单元 , 记 为 rt 级 
移 位 寄存 器 ,如 图 6-3 所 示 。 所 有 存储 单元 的 值 可 以 统一 向 右 移 动 一 个 位 置 , 记 1 拍 ,图 中 
a 被 首先 输出 。 


a 全 一 一 输出 


da | | 


图 6-3 移 位 寄存 器 
反馈 移 位 寄存 器 是 由 六 级 移 位 寄存 器 和 一 个 反馈 函数 组 成 的 ,如 图 6-4 所 示 。 


-| a, qs | a 一 一 一 输出 


反馈 函数 /x) 
图 6-4 反馈 移 位 寄存 器 


在 图 6-4 中 ,反馈 函数 /(z) 由 a1,as，…,a, 通过 某 种 函数 关系 产生 1 位 ,al ,az，*…,a， 
统一 向 右 移动 1 位 ,ai 被 输出 ,由 函数 产生 的 1 位 补充 到 a, 的 位 置 。 

例 6-3 如 图 6-5 所 示 是 一 个 3- 级 反馈 移 位 寄存 器 ,反馈 函数 /(z) 二 a 四 as, 初 态 为 
100, 即 a; 二 1,as 二 0,a1 二 0, 求 其 输出 序列 的 前 8 位 。 


9 | @|w -一 输出 


反馈 函数 fo) 


图 6-5 ”反馈 移 位 寄存 器 
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: 状态 1( 初 始 状 态 ): 100, 反 馈 函 数 F(1) 一 as 四 一 1, 输 出 : 0; 
2: 110, 反 馈 函 数 /(2) 二 0, 输 出 : 0; 
3: 011, 反 馈 函 数 /(3) 二 1, 输 出 : 1; 
4: 101, 反 馈 函 数 /(4) 二 1, 输 出 : 1; 
5: 110, 反 馈 函 数 /(5) 二 0, 输 出 : 0; 
6: 011, 反 馈 函 数 /(6) 二 1, 输 出 : 1; 
7: 101, 反 馈 函 数 /(7)= 二 1, 输 出 : 1; 
状态 8: 110, 反 馈 函 数 /(8) 二 0, 输 出 : 0; 

所 以 前 8 位 分 别 为 00110110 ,周期 为 3, 即 011。 

将 例 6-3 中 的 反馈 函数 推广 到 一 般 形式 为 

f(z) = caal OBoa 由 … 中 ca， (6-2) 

其 中 ,常数 c; 二 0,1。ci 可 以 用 开关 的 断 开 和 闭合 来 实现 ,如 图 6-6 所 示 。 


| dn ] | nl | 加 -| GD 站 a = 输出 
f a f” 的 cn 
四 中 全 


图 6-6 ”反馈 函数 的 一 般 形式 


在 图 6-6 中 ,反馈 函数 是 寄存 器 中 某 些 位 的 异 或 , 即 线性 形式 , 则 把 这 种 反馈 移 位 寄存 
器 称 为 线性 反馈 移 位 寄存 器 ,简称 LFSR(Linear Feedback Shift Register)。 而 非 线性 反馈 
移 位 寄存 器 相对 较 复 杂 , 不 仅仅 是 位 之 间 的 异 或 ,还 有 其 他 运算 。 

接 下 来 讨论 ,对 于 同 级 的 线性 反馈 移 位 寄存 器 , 初 态 以 及 反馈 函数 的 变化 会 带 来 什么 样 
的 变化 。 

例 6-4 如 图 6-5 所 示 是 一 个 3- 级 反馈 移 位 寄存 器 ,反馈 函数 / (xz) 二 a 中 ai, 初 态 为 
100, 求 其 输出 序列 的 前 8 位 。 

解 : 状态 1( 初 始 状态 ) : 100, 反 馈 函 数 /(1) 二 a; 中 a 二 1, 输 出 : 0; 

状态 2: 110, 反 馈 函 数 /(2) 二 1, 输 出 : 0; 

状态 3: 111, 反 馈 函 数 /(3) 二 0, 输 出 : 1; 

状态 4: 011, 反 馈 函 数 F(4) 王 1, 输 出 : 1; 

状态 5: 101 ,反馈 函数 /(5) 二 0, 输 出 : 1; 

状态 6: 010, 反 馈 函 数 f(6) 二 0, 输 出 : 0; 

状态 7: 001, 反 馈 函 数 f(7) 二 1, 输 出 : 1; 

状态 8: 100, 反 馈 函 数 /(8) 二 1, 输 出 : 0; 
所 以 前 8 位 分 别 为 00111010, 周 期 为 7, 即 0011101。 

通过 例 6-3 和 例 6-4 可 以 看 出 ,相同 的 初 态 ,不 同 的 反馈 函数 ,输出 序列 的 周期 是 不 
同 的 。 
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例 6-5 如 图 6-5 所 示 是 一 个 3- 级 反馈 移 位 寄存 器 ,反馈 函数 fCz) 一 as 四 mm , 初 态 为 
011, 求 其 输出 序列 的 前 8 位 。 
解 : 状态 1( 初 始 状态 ) : 011 ,反馈 函 数 F(1) 一 as 中 一 1, 输 出 : 1; 
状态 2: 101, 反 馈 函 数 f(2) 二 0, 输 出 : 1; 
状态 3: 010, 反 馈 函 数 f(3) 二 0, 输 出 : 0 
状态 4: 001, 反 馈 函 数 /(4) 二 1, 输 出 : 1 
状态 5: 100, 反 馈 函 数 1(5) 二 1, 输 出 : 0; 
状态 6: 110, 反 馈 函 数 1(6) 王 1, 输 出 : 0 
状态 7: 111 ,反馈 函 数 /(7) 二 0, 输 出 : 1 
状态 8: 011, 反 馈 函 数 /(8) 二 1, 输 出 : 1; 
所 以 前 8 位 分 别 为 11010011, 周 期 为 7, 即 1101001。 
可 以 看 出 ,相同 的 反馈 函数 ,不 同 的 初 态 , 输 出 序列 的 周期 不 因 初 态 的 改变 而 变化 。 
输出 序列 的 周期 越 大 ,随机 性 越 好 。 对 于 n- 级 移 位 寄存 器 来 说 ,如 果 给 定 一 个 初 态 , 当 
输出 序列 遍历 所 有 状态 之 后 再 次 回 到 初 态 为 最 大 周期 。 
和- 级 移 位 寄存 器 共有 2" 个 状态 ,去 掉 全 0 的 状态 ,2" 一 1 是 最 大 周期 。 如 3- 级 移 位 寄 
存 器 有 2 一 8 个 状态 ,分别 为 000,001,010,011,100,101,110,111 ,那么 最 大 周期 为 7。 


6.4 线性 移 位 寄存 器 的 一 元 多 项 式 表示 


设 级 线性 移 位 寄存 器 的 输出 序列 (a;} 满 足 递 推 关系 


QH 一 C1QtHH1 四 car- 由 四 ceax (6-3) 
对 任何 三 1 成 立 。 这 种 递 推 关系 可 用 一 个 一 元 n 次 多 项 式 表 示 为 
plz) =1+azter’ ter" (6-4) 


称 式 (6-4) 为 该 线性 寄存 器 的 联系 多 项 式 或 特征 多 项 式 。 
设 级 线性 移 位 寄存 器 对 应 于 递 推 关系 , 则 有 2" 个 递 推 序列 ,其 中 非 恒 为 0 的 序列 有 
2" 一 1 个 。 令 这 非 零 的 序列 全 体 为 GCLP(z)]。 对 GLP(z)] 中 的 任 一 序列 w, 有 母 函 数 
A{x) = Farm, 
i=l 


定理 6-1 设 p(zx)==1 十 oz 十 csx! 十 … 十 cx" 是 GF(2) 上 的 多 项 式 , 且 递 推 序列 {a;} €E 
G[P(z)], 令 


A(z) = Farr 
i=1 


则 


$x) 


A(Cz) = pez) 


其 中 
$(z) 一 De Dar 
i=1 j=l 
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根据 定理 ,车 序列 {a,} EG[p, (z)], 其 中 p, (z) 是 n 级 线性 移 位 寄存 器 的 特征 多 项 式 ， 
则 母 函数 为 ACz) 一 %z)VpCz) ,其 中 的 次 数 低 于 ,最 多 为 x 一 1 次 。 

定理 6-2 p(xz)lg(z) 的 充 要 条 件 是 GL[p(zx)]CG[Lg(zx)]。 

定理 说 明 n 级 线性 移 位 寄存 器 产生 的 序列 可 用 级 数 更 多 的 线性 移 位 寄存 器 来 实现 。 

定义 6-1 设 p(z) 为 GF(2) 上 的 n 次 多 项 式 ,使 p(xz)|z? 一 1 的 最 小 p 称 为 p(x) 的 周 


期 或 p(x) 的 阶 。 
定理 6-3 设 p(z) 为 GF(2) 上 的 nn 次 多 项 式 , 且 p(x) 是 序列 {ai;} 的 特征 多 项 式 ,p 为 


p(xz) 的 阶 , 则 {ai} 的 周期 为 1p。 
n 级 线性 移 位 寄存 器 输出 序列 的 周期 r 不 依赖 于 初始 条 件 ,而 依赖 于 特征 多 项 


式 p(xz)。 
定理 6-4 车 p(z) 是 n 次 不 可 约 多 项 式 , 目 p(x) 的 阶 为 m,{a;) EGLp(z)]j, 则 序列 


{ai) 的 周期 为 m。 

定理 说 明了 特征 多 项 式 满足 什么 条 件 ,n 级 线性 移 位 寄存 器 的 输出 为 m 序列 。 

定理 6-5 级 线性 移 位 寄存 器 产生 的 状态 序列 最 大 周期 为 2" 一 1 的 必要 条 件 是 其 特 
征 多 项 式 是 不 可 约 的 。 


6.5 m 序列 密码 的 破译 


利用 线性 移 位 寄存 器 产生 的 mm 序列 设计 加 密 算 法 ,其 构思 如 图 6-7 所 示 。 
明文 m 
on: 密 文 c<。 


-1 a 


a | 二 | a 
下 2 Co 人 
图 6-7 m 序列 设计 加 密 算 法 


算法 的 密 钥 取 决 于 初始 状态 和 co ,cs，…,c, 的 值 。 

nn 级 线性 移 位 寄存 器 对 应 的 多 项 式 是 本 原 多 项 式 , 有 Xmw) 个 , 非 0 初始 状态 有 2" 一 1 
个 , 故 不 同 的 密 钥 或 密 钥 流 共有 4(n)(2" 一 1) 个 。 

特征 多 项 式 p(z) 决 定 了 线性 移 位 寄存 器 输出 序列 的 性 质 。 当 特征 多 项 式 为 本 原 多 项 
式 时 ,线性 移 位 寄存 器 输出 序列 周期 最 长 为 2 一 1, 随 机 性 良好 。 但 是 ,线性 移 位 寄存 器 在 


已 知 明文 攻击 时 是 可 破译 的 。 
设 S 和 Sti 表示 线性 移 位 寄存 器 输出 序列 任意 连续 的 两 个 向 量 。 
an n+l 
S=| |, sn=|"™ 
Qktnl QHm 


假定 序列 {a; } 满 足 线性 递 推 关系 
ah = Clarkrl BD Ca 四 … 四 Ca (6-5) 
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式 (6-5) 可 以 表示 成 


QiH1 0 1 0 0 an 
QH2 0 0 和 … 0 QH1 
QAHr1 0 0 0 … 和 1 ||| ar 
Qt CG, "Ces Cos “ww Cs jlaowa 
或 
Sin = MS, 
式 中 
0 1 0 0 
0 0 1 0 
M= : 
0 0 0 1 


Gs Ca Cas  & 
和 矩阵 M 称 为 反馈 多 项 式 p(z)= 二 1 十 Cizt 十 Cs 十 … 十 Cz" 的 伴侣 矩阵 ,M 和 p(xz) 可 以 互 
相 确 定 。 
假定 破译 者 知道 了 一 段 长 2” 位 的 明 密 文 对 , 即 已 知 
m 一 17217722 "Don C 一 C1C2 ooC2n 
于 是 ,可 求 出 一 段 长 2n 位 的 密 钥 序列 
k = ARs…ARzn 
其 中 心 三 mi 四 ci。 
由 此 可 推出 线性 移 位 寄存 器 的 连续 "十 1 个 状态 : 
Si 一 (ep °% hk) = as … ao) 


S; = bh Be Bay a ty ws ay 


SS 一 (Ra Re Ri) = (a ad … ai) 
作 和 矩阵 
X=(S SS: … S,) 
因为 
al Q2 Qn 
(ai an Co) 一 (CO Ce …… Ci) 吹 人 


dn Qnr “””” ad2n 
We Cy wr BE 
车 半 可 逆 , 则 
(CGC, Ce … C)=(am ar … am)X 
例 6-6 假设 破译 者 得 到 密 文 串 101101011110010 和 相应 的 明文 串 011001111111001。 
同时 假定 攻击 者 也 知道 密 钥 流 是 使 用 5 级 线性 移 位 寄存 器 产生 的 , 试 破译 该 密码 系统 。 


1 
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解 : 由 明文 (15 位 )、 密 文 (15 位 ) 对 可 求 出 长 为 15 位 的 密 钥 序列 。 


mi 0 1 l 0 0 1 1 1 1 1 0 0 
Ci 1 0 L 1 1 1 1 1 0 1 
大 一 mu 四 ec | 0 OE | 1 
由 开始 的 10 个 密 钥 流 比特 得 到 上 述 和 矩阵 方程 。 
al az as a ai 
Q2 Q3 a as Q6 
(ag ar as das a1w)=(C: C4 C: Ci)las ae as as ar 
al ds ds ay as 
Q5 Q6 ar as Q9 
推出 线性 移 位 寄存 器 的 连续 6 个 状态 为 
Si 一 (ha ks k ks)=(a a as a as)=(l 10 1 0) 
Ss:=(k, ks k ks ke)=(as as a ai as)=(1 0 1 0 0) 
Ss=(ks Rh ks A k)=(as a as ae a)= (0 0 0 1) 
S4 一 (e ks ke A ks)=(a as a a as)=(1 00 1 0) 
Ss=(ks ks k: ks ks)=(as as a as as)=(0 0 1 0 0) 
Se = (ke k: ks ks Ao) 一 (age a as a aw)=(0 1 0 0 0) 
故 上 述 矩 阵 方程 可 写 为 
9 
1 0 1 0 0 
(0 10 0 0)=(C C C C CD)l0 100 1 
10 0 1 0 
00 100 
所 以 
3 
1 0 10 0 
(Cs CC CC)=(0100 0l0 1001 
10 0 1 0 
00 10 0 
又 因 
1 01001 
10 10 0 0 
O11 00.1 =|0 0001 
EL O01 
O01 0 入 下 个 0 


从 而 得 
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ol 0 
让 
(G Gi GG G0 Lv vo 0 0 0 1 
(Ns | 
TG 生生 


一 (100 1 0) 
由 此 可 得 该 密码 系统 的 密 钥 流 产生 的 迭代 公式 为 
aa = Csa: 四 C2aits 


6.6 非 线性 反馈 移 位 寄存 器 


非 线性 反馈 移 位 寄存 器 主要 包括 Geffe 序列 生成 器 J-K 触发 器 .Press 生成 器 和 钟 控 
生成 器 等 形式 。 
1. Geffe 序列 生成 器 


Geffe 序列 生成 器 由 三 个 LFSR 组 成 ,其 中 LFSR2 作为 控制 生成 器 使 用 ,如 图 6-8 
所 示 。 


LFSR1 太一 一 一 | 
LFSR2 
LFSR3 


图 6-8 Geffe 序列 生成 器 


输出 


当 LFSR2 输出 1 时 ,LFSR2 与 LFSR1 相连 ; 当 LFSR2 输出 0 时 ,LFSR2 与 LFSR3 
相连 。 若 设 LFSRi 的 输出 序列 为 {a} (i 二 1,2,3), 则 输出 序列 {5,) 可 以 表示 为 
br = alPal® ta a® = afdaf? +alda® + a (6-6) 
Geffe 序列 生成 器 也 可 以 表示 为 图 6-9 的 形式 ,其 中 LFSR1 和 LFSR3 作为 多 路 复合 器 
的 输入 ,LFSR2 控制 多 路 复合 器 的 输出 。 


多 路 复合 器 
{at} 
LFSRI1 
{a {hr} 
LFSR2[ | 选择 控制 
fa | 
LFSR3 


6-9 多 路 复合 器 表示 的 Geffe 序列 生成 器 
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2. J-K 触发 器 


JK 触发 器 如 图 6-10 所 示 , 它 的 两 个 输入 端 分 别 用 Jq 和 K 表示 ,其 输出 cx 可 表示 为 
Ct 一 (zl 十 zz)cel 十 zi (6-7) 
其 中 ,zk 和 zs 分 别 是 J 和 开端 的 输入 。 由 式 (6-7) 可 以 得 到 太 K 触发 器 的 真 值 表 , 如 
表 6-1 所 示 。 


表 6-1 JrK 触发 器 真 值 表 


J K Cx 
0 0 ct-1 
Cx 
0 1 0 
1 0 1 
R 1 1 ct-l 


图 6-10 J-K 触发 器 
利用 J-K 触发 器 的 非 线性 序列 生成 器 如 图 6-11 所 示 。 
{ax} 


LFSRI1 


{cr} 


{bx} 


LFSR2 


图 6-11 利用 三 K 触发 器 的 非 线性 序列 生成 器 


LFSRI1 是 m 级 线性 反馈 移 位 寄存 器 ,LFSR2 是 n 级 反馈 移 位 寄存 器 。c 可 表示 为 
cr = (ar +b) ctar = Car thst Detar (6-8) 
由 于 JK 触发 器 的 输出 有 时 和 前 一 项 有 关 , 通 常 令 ci 二 0, 则 输出 序列 的 最 初 三 
项 为 
co 一 Qo 
cl 一 (aa 十 总 十 1)ao 十 ai 
cz 二 (qz 十 Bz 十 1)((ai 十 本 十 1)ao 十 a1) 十 az 

当 m 与 n 互 素 且 ao 十 bo 二 1 时 ,序列 {c4} 的 周期 为 (2 一 1) (2" 一 1)。 

这 种 体制 虽然 在 随机 性 方面 比较 好 ,然而 只 要 知道 它 的 序列 的 一 部 分 ,就 可 能 求 出 其 他 
部 分 。 
为 了 克服 这 一 缺点 ,Pless 提出 了 由 多 个 . 太 K 触发 器 序列 驱动 的 多 路 符合 序列 方案 ,成 
为 Press 生成 器 。 


3. Press 生成 器 


Press 生成 器 由 8 个 线性 移 位 寄存 器 组 成 的 4 组 三 K 触发 器 ,以 及 一 个 循环 计数 器 构 
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成 ,如 图 6-12 所 示 。 


LEFSRI FF—™| 了 


LFSR2 上 广 -一 | 天 


LFSR3 六 一 | J 


天 
LFS | i 
FSR4 输出 


LFSR5 六 一 一 一 | 了 


LFSR6 上 一 天 


LFSR7 上 一 一 一 | 


LFSR8 | 一 一 | 大 


图 6-12 Press 生成 器 


循环 计数 器 的 作用 是 决定 在 每 一 个 时 间 脉 冲 的 作用 下 输出 的 单位 。Press 生成 器 的 密 
钥 是 8 个 移 位 寄存 器 和 它们 的 初 态 、J-K 触发 器 的 初 态 以 及 输出 单元 的 顺序 。 

Press 生成 器 中 8 个 线性 移 位 寄存 器 的 级 数 ,不 仅 要 求 各 对 之 间 达 到 级 数 互 素 , 而 且 各 
JK 触发 器 的 输出 周期 元 素 要 使 得 最 后 输出 的 周期 为 各 个 周期 的 乘积 。 


4. 钟 控 生 成 器 


钟 控 生 成 器 是 由 控制 序列 (由 一 个 或 多 个 一 位 寄存 器 来 控制 生成 ?组 成 的 。 控 制 序列 的 
当前 值 确定 被 采样 序列 寄存 器 的 时 钟 脉冲 数目 。 控 制 序列 和 被 采样 序列 可 以 是 源 于 一 个 
LFSR 的 自控 型 ,也 可 以 是 源 于 不 同 LFSR 的 他 控 型 ,还 可 以 是 相互 控制 的 互 控 型 。 

交错 停 走 生成 器 是 一 种 钟 控 生成 器 。 这 个 生成 器 使 用 了 三 个 不 同 级 数 的 LFSR。 当 
LFSR1 的 输出 是 1 时 ,LFSR2 被 时 钟 驱动 ; 当 LFSR1 的 输出 是 0 时 ,LFSR3 被 时 钟 驱 动 。 
这 个 生成 器 的 输出 是 LFSR2 和 LFSR3 输出 的 异 或 ,如 图 6-13 所 示 。 最 后 的 输出 作为 密 钥 
流 的 组 成 部 分 。 这 个 生成 器 具有 长 的 周期 和 大 的 线性 复杂 性 。 


区 


=~| LFSR2 


时 钟 输出 


一 下 |LFSRI 一 个 


=| LFSR3 


图 6-13 交错 停 走 生成 器 
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6.7 基于 LFSR 的 序列 密码 加 密 体制 


基于 LFSR 的 序列 密码 加 密 体制 如 图 6-14 所 示 , 明 文 以 比特 的 形式 进入 加 密 系 统 , 每 
一 比特 与 反馈 移 位 寄存 器 运算 ,得 到 每 一 比特 的 密 文 。 密 文 同时 作为 移 位 寄存 器 的 下 一 个 
输入 。 基 于 LFSR 的 序列 密码 解密 体制 如 图 6-15 所 示 , 移 位 寄存 器 不 变 ,明文 和 密 文 的 顺 
序 正好 相反 。 


明文 
= 个 一 
密 广 
C> 
-加 - 
图 6-14 基于 LFSR 的 序列 密码 加 密 体制 
明文 f | | 
光 名 
[1 
CI C> Co- Cn 
| an | dnl 和 -| dy | Al 


图 6-15 基于 LFSR 的 序列 密码 解密 体制 


例 6-7 利用 图 6-13 的 加 密 体制 加 密 明 文 (m) 字 母 A,10- 级 反馈 移 位 寄存 器 ,其 中 参 
数 及 初 态 分 别 为 (cics csic,) 二 (1000111001), (aa …asai) 一 (0011101001), 求 
密 文 (e) 。 

解 : 

(1) 将 字母 A 转化 为 ASCII 为 65 ,进而 转化 成 二 进 制 为 01000001 。 

(2) 由 参数 及 初 态 可 知 : 反馈 函数 (x) 二 a1oas as as a。 

(3) 明文 m 第 一 个 进入 系统 的 是 mi 二 0; /(1) 二 1; 密 文 ej 二 1。 

(4) ms 二 1; f(2)= 二 1; 密 文 es 二 0。 

(5) ms 二 0; f(3) 二 1; 密 文 es 二 1。 

(6) mu 二 0; f(4) 二 0; 密 文 es 二 0。 
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(7) ms 一 0; F5) 王 1; 密 文 es = 二 1。 

(8) m6 二 0; f(6) 二 1; 密 文 es 二 1。 

(9) m1 二 0; f(7)= 二 1; 密 文 e1 = 二 1。 

(10) ms 二 1; f(8) 二 0; 密 文 es 二 1。 
所 以 密 文 为 10101111。 


6.8 随机 数 产生 器 的 安全 性 评估 


评价 随机 数 产 生 器 的 优 劣 主要 从 以 下 两 个 方面 进行 衡量 : 周期 是 否 足够 大 ; 是 否 具有 
不 可 预测 性 。 评 估 的 方法 主要 有 : 统计 测试 ,包括 Chi-Square 测试 法 和 Kolmogorov- 
Smirnov 测试 法 ; 线性 复杂 度 测试 。 


1. Chi-Square 测试 法 


Chi-Square( 卡 方 ) 测 试 法 是 一 种 用 途 很 广 的 计数 资料 的 假设 检验 方法 。 它 属于 非 参数 
检验 的 范畴 ,主要 是 比较 两 个 及 两 个 以 上 样本 率 ( 构 成 比 ) 以 及 两 个 分 类 变量 的 关联 性 分 析 。 
其 根本 思想 就 在 于 比较 理论 频数 和 实际 频数 的 吻合 程度 或 拟 合 优 度 问 题 。 在 序列 密码 中 ， 
主要 是 测试 输出 序列 的 概率 分 布 ,是否 接近 给 定 的 概率 分 布 函数 。 在 一 般 应 用 场合 中 , 常 假 
设 此 种 概率 分 布 为 均匀 分 布 。 

在 掷 骨 子 的 试验 中 , 若 设 ”为 测试 的 总 次 数 ; i 为 骨 子 的 点 数 ; Y; 为 i 出 现 的 次 数 ; P， 
为 i 出现 的 概率 ,用 Chi-Square 测试 法 得 到 的 测试 值 如 式 (6-9) 所 示 。 

人 一 矶 六 
1<i<h np: 

其 中 ,十 Ys 十 … 十 Y= 二 n5 pi 十 pz 十 … 十 pr 二 1。 

为 了 使 Chi-Square 测试 能 更 准确 ,n 值 必须 足够 大 ,一 般 而 言 ,n 要 大 到 使 np; 至 少 为 5 

或 更 大 。 测 试 最 好 做 两 次 以 上 ,而 且 每 次 取 不 同 的 样本 ,这 样 判定 能 更 准确 。 


2. Kolmogorov-Smirnov( 柯 尔 莫 诺 夫 - 斯 米尔 诺 夫 ) 测 试 法 


Chi-Square 测试 法 主要 测试 输出 序列 的 概率 分 布 ,在 整体 上 判定 是 否 接近 给 定 的 概率 
分 布 函数 ,而 Kolmogorov-Smirnov 测试 法 主要 是 在 区 域 上 是 否 接近 给 定 的 概率 分 布 函数 。 

Kolmogorov-Smirnov 测试 法 基于 累计 分 布 函 数 ,用 以 检验 两 个 经 验 分 布 是 否 不 同 或 一 
个 经 验 分 布 与 另 一 个 理想 分 布 是 否 不 同 。 

Kolmogorov 分 布 是 随机 变量 的 一 种 分 布 。 


V= (6-9) 


K= Su | BCz) | (6-10) 
#€EL0,1 
其 中 ,B() 是 Brown 桥 。K 的 累积 分 布 函数 由 下 式 给 出 : 
P(K<z)=1—2D) (Die -一 DE (6-11) 
=1 一 1 


3. 线性 复杂 度 
线性 复杂 度 是 指 对 于 一 串 序 列 so ,si ,… ,sw-1， 能 够 用 最 少 移 位 寄存 器 的 LFSR 产生 此 
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序列 时 , 移 位 寄存 器 的 数目 。 此 数目 称 为 此 序列 的 线性 复杂 度 。 一 般 而 言 , 对 于 任意 周期 性 
的 序列 而 言 ,车 其 线性 复杂 度 工 已 知 , 则 可 以 很 容易 地 从 2L 个 输出 序列 (ov…,av，…， 
w+i-1) 求 出 特征 多 项 式 的 系数 c ,cz ,cr。 


Ql dn-2 QL Cl1 an 
an Ql Qn-L+1 cz | Qntl 
QHL-2 anti-3 “”  Aawl Cr QntL-1 


所 以 ,可 以 利用 已 知 明文 攻击 法 对 此 序列 进行 攻击 。 为 了 防止 被 攻击 ,可 以 将 序列 加 密 
算法 使 用 非 线性 组 合 而 增加 其 线性 复杂 度 。 然 而 ,对 于 任意 的 线性 周期 序列 所 做 的 非 线 性 
组 合 还 是 周期 性 的 ,因此 可 以 用 LFSR 来 实现 。 并 利用 Berlekamp-Massey 算法 找 出 其 线性 
复杂 度 及 其 特征 多 项 式 的 系数 。 一 般 而 言 ,输出 序列 的 线性 复杂 度 越 大 越 好 。 

总 之 ,设计 一 个 性 能 良好 的 序列 密码 是 一 项 十 分 困难 的 任务 ,最 基本 的 设计 原则 是 “ 密 
钥 生 成 器 的 不 可 预测 性 ”, 它 可 分 解 为 众多 基本 原则 : 长 周期 .高 线性 复杂 度 .统计 性 能 良 
好 ,足够 “混乱 ”足够 “扩散 "以 及 抵抗 不 同形 式 的 攻击 等 。 


6.9 序列 密码 的 攻击 方法 


插入 攻击 法 是 序列 密码 的 一 个 比较 典型 的 攻击 方法 。 
插入 攻击 法 的 攻击 需求 是 可 以 在 明文 流 插入 一 位 ,并 截获 密 文 流 。 假 设 原始 的 明文 流 、 
密 钥 流 和 密 文 流 分 别 为 
pi pz spss pr ps 
ki ,kz ,ks RS (6-12) 
ClsC2 C39C4 9C5 9 
攻击 者 可 以 在 明文 流 中 插入 一 个 已 知 位 p。 如 插入 在 第 一 位 的 后 面 ,用 同样 的 密 钥 加 
密 后 发 送 ,得 到 的 明文 流 、 密 钥 流 和 密 文 流 分 别 为 
Pisp: psp ps 
ki ,kz ,ks ,ks »ks ,ke ,*** 《6-13) 
ClyCczyCcsyC4sC5yC6， 
由 于 攻击 者 知道 p 和 密 文 流 cl ,cs ,cs ,ctycs cs,… ,所 以 可 以 通过 建立 方程 组 来 求解 。 
在 式 (6-10) 中 ,可 以 求 出 k,。 


POhks = chk =pDe (6-14) 
在 式 (6-9) 中 ,用 ks 可 以 求 出 p;。 

p: 田 心 = cp =k De (6-15) 
在 式 (6-10) 中 ,用 ps 可 以 求 出 &。 

pb: Dhs = ch = pO (6-16) 
同 理 , 可 以 依次 求 出 & ,ks ，…; ps prs*…。 
例如 ,原始 的 明文 密 文 流 为 


pisp2spss: prs ps = 10110°* 
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ki ,kz Ra ,ks ,ks," 一 01001… 
clyczycayctycsy… 一 11111… (6-17) 
插入 一 位 p 二 1, 得 到 
Wn i 
ki ,kz As vivi, 一 010010 
de OOLO0 C6= 8 
这 里 只 知道 两 个 密 文 流 以 及 p, 由 上 述 分 析 得 
POhk=ck =pOe=1 
p: Dh = cp =ks De 一 0 
p: Dh =chs =p Be =0 
依次 可 以 得 到 明文 序列 和 密 钥 序列 ,当然 这 里 只 能 得 到 插入 位 后 的 序列 。 


6.i0 RC4 和 RC5 


6.10.1 RC4 


RC4 加 密 算法 是 大 名 鼎鼎 的 RSA 三 人 组 中 的 头号 人 物 Ron Rivest 在 1987 年 设计 的 
密 钥 长 度 可 变 的 流 加 密 算法 徐 。 之 所 以 称 其 为 徐 , 是 由 于 其 核心 部 分 的 S-box 长 度 可 为 任 
意 , 但 一 般 为 256 字 节 。 该 算法 的 速度 可 以 达到 DES 加 密 的 10 售 左 右 。 

RC4 算法 本 身 很 简单 ,对 于 位 长 的 字 , 它 总 共有 n= 二 2" 个 可 能 的 内 部 置换 状态 矢量 
S$S, 这 些 状态 是 保密 的 。 典 型 地 二 8, 即 以 一 个 字 节 为 单位 ,此 时 ,用 从 1 到 256 个 字 节 ( 即 8 
到 2048 位 ) 的 可 变 长 度 密 钥 初始 化 一 个 256 个 字 节 的 状态 数组 S。S 的 元 素 记 为 SL0]， 
S[1],…,S[255] ,自始至终 置换 后 的 $ 包含 从 0 到 255 的 所 有 8 比特 数 。 密 钥 流 天 由 S 中 
256 个 元 素 按 一 定 的 方式 选 出 一 个 元 素 生成 ,每 生成 一 个 玉 值 ,S 中 的 元 素 就 被 重新 置换 
一 次 。 
RC4 有 两 个 主要 的 算法 : 密 钥 调度 算法 (KSA) 和 伪 随 机 数 生成 算法 (PRGA)。 
KSA 开始 初始 化 S, 即 S(2)==i(i 二 0~~255)。 通 过 选取 一 系列 数字 ,并 加 载 到 密 钥 数组 
K(0) 一 K(255)。 不 用 去 选取 这 256 个 数 ,只 要 不 断 重复 直到 K 被 填 满 。 数 组 S 可 以 利用 
以 下 程序 来 实现 随机 化 : 

j:=0; 

for i: = 0 to 255 do begin 

j:=i+S(i) +K(i)(mod 256) 
swap (S(i),Ss(j)) 

end 

一 旦 KSA 完成 了 S 的 初始 随机 化 ,PRGA 就 将 接手 工作 , 它 为 密 钥 流 选取 字 节 , 即 从 S 
中 选取 随机 元 素 , 并 修改 S 以 便 下 一 次 选取 。 选 取 过 程 取决 于 索引 i 和 j ,这 两 个 索引 值 都 
是 从 0 开始 的 。 下 面 的 程序 就 是 选取 密 钥 流 的 每 个 字 节 : 


i:=i+1(mod 256) 
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j: =j+S(i)(mod 256) 
swap(S(i), Ss(j)) 
t:=S(i)+S(j)(mod 256) 
k: = S(t) 
以 3 位 (0 一 7) 的 RC4 为 例 ,其 操作 是 对 8 取 模 ,而 不 是 256。 数 组 S 有 8 个 元 素 ,如 果 
选取 5.6 和 7 作为 密 钥 ,利用 循环 构建 实际 的 S 数组 : 
于 一 人 
fori=oto7do 
j= (j+S(i) +K(i)) mod 8; 
swap (S(i),s(j)); 
该 循环 以 j= 二 0 和 i 二 0 开始 ,使 用 更 新 公示 后 j 为 
j= 二 [0 十 S(0) 十 K(0)] mod 8 二 (0 十 0 十 5) mod 8 二 5 
因此 ,S 数组 的 第 一 个 操作 是 将 SC0) 与 S(5) 互 换 。 
索引 i 加 1 后 ,j 的 下 一 个 值 为 
j=[5+S(1)+K(1)] mod8= (5 
因此 ,S 数组 的 S(1) 与 SC4) 互 换 。 
当 循 环 执行 后 ,数组 S 被 随机 化 用 来 生成 随机 数 序列 。 从 7 一 0 和 i 二 0 开始 ,RC4 按照 
下 述 计 算 第 一 个 随机 数 : 
1 一 (十 1) mod8= (0 二 +1)mod8==1 
j=[G+S(D))] mod8=[(0+S(1))] mod8= (0+4) mod8=4 
swapS(1)andS(4) 
t=[S()+S()] mod8=[S(4)+S()] mod8= (+4) mod8=5 
k= =8(5) =6 
第 一 个 随机 数 为 6, 其 二 进 制 表示 为 110。 反 复 进行 该 过 程 ,直到 生成 的 二 进 制 位 等 于 
明文 的 位 。 
常见 的 RC4 实现 基于 n= 二 8, 这 种 系统 的 初始 密 钥 是 0 一 256 的 整数 ,共有 2 种 可 能 。 
这 相当 于 使 用 了 一 个 1600 位 的 密 钥 ,使 强力 攻击 法 变 得 不 可 能 。 


6) mod 8 一 4 


6.10.2 RC5 


RC5 分 组 密码 算法 是 在 RC4 的 基础 上 进行 改进 的 , 它 是 参数 可 变 的 分 组 密码 算法 ,三 
个 可 变 的 参数 是 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 数 。 在 此 算法 中 使 用 了 三 种 运算 : 异 或 .加 
和 循环 。 

RC5 是 种 比较 新 的 算法 ,Rivest 设计 了 RC5 的 一 种 特殊 的 实现 方式 ,因此 RC5 算法 有 
一 个 面向 字 的 结构 : RC5-w/r/5b, 这 里 w 是 字 长 ,其 值 可 以 是 16、32 或 64。 对 于 不 同 的 字 
长 ,明文 和 密 文 块 的 分 组 长 度 为 2w 位 ,r 是 加 密 轮 数 ,b 是 密 钥 字 节 长 度 。 由 于 RC5 一 个 分 
组 长 度 可 变 的 密码 算法 ,为 了 便于 说 明 在 本 文中 主要 是 针对 64 位 的 分 组 w= 32 进行 处 理 
的 ,下 面 详细 说 明了 RC5 加 密 解 密 的 处 理 过 程 。 


1. 创建 密 钥 组 


RC5 算法 加 密 时 使 用 了 2r 十 2 个 密 钥 相关 的 32 位 字 , 这 里 表示 加 密 的 轮 数 。 创 建 这 
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个 密 钥 组 的 过 程 是 非常 复杂 的 但 也 是 直接 的 ,首先 将 密 钥 字 节 拷 贝 到 32 位 字 的 数组 工 中 
(此 时 要 注意 处 理 器 是 little-endian 顺序 还 是 big-endian 顺序 ) ,如 果 需 要 ,最 后 一 个 字 可 以 
用 零 填充 。 然 后 利用 线性 同 余 发 生 器 模 2 初始 化 数组 S。 

对 于 i==1 到 2(r 十 1) 一 1( 本 应 模 , 本 文中 令 w==32):; 

其 中 对 于 16 位 字 32 位 分 组 的 RC5,P 二 0xb7el,Q 二 0x9e37。 

对 于 32 位 字 和 64 位 分 组 的 RC5,P 二 0xb7e15163,Q 二 0x9e3779b9。 

对 于 64 位 字 和 128 位 分 组 ,P= 二 0xb7151628aed2a6b,Q 二 0x9e3779b97f4a7c15。 

最 后 将 LL 与 S 混合 ,混合 过 程 如 下 : 

i=j=0 

A=B=0 

处 理 3n 次 (这 里 nn 是 2(r 十 1) 和 c 中 的 最 大 值 ,其 中 < 表示 输入 的 密 钥 字 的 个 数 ) 。 


2. 加 密 处 理 


在 创建 完 密 钥 组 后 开始 进行 对 明文 的 加 密 , 加 密 时 ,首先 将 明文 分 组 划分 为 两 个 32 位 
字 : A 和 B( 在 假设 处 理 器 字 节 顺序 是 little-endian、w 二 32 的 情况 下 ,第 一 个 明文 字 节 进入 
A 的 最 低 字 节 , 第 四 个 明文 字 节 进入 A 的 最 高 字 节 ,第 五 个 明文 字 节 进入 B 的 最 低 字 节 , 以 
此 类 推 ), 其 中 操作 符 二 二 二 表示 循环 左 移 , 加 运算 是 模 ( 本 应 模 ,本 文中 令 zw 一 32) 的 。 

输出 的 密 文 是 在 寄存 器 A 和 B 中 的 内 容 。 


3. 解密 处 理 


解密 也 是 很 容易 的 ,把 密 文 分 组 划分 为 两 个 字 : A 和 B( 存 储 方式 和 加 密 一 样 ), 这 里 符 
合 二 二 二 是 循环 右 移 , 减 运 算 也 是 模 ( 本 应 模 ,本 文中 令 w= 二 32) 的 。 

RSA 试验 室 花 费 了 相当 的 时 间 来 分 析 64 位 分 组 的 RC5 算法 ,在 5 轮 后 统计 特性 看 起 
来 非常 好 。 在 8 轮 后 ,每 一 个 明文 位 至 少 影响 一 个 循环 。 对 于 5 轮 的 RC5 ,差分 攻击 需要 
2* 个 选择 明文 ; 对 10 轮 需 要 2 个 ; 对 于 12 轮 需 要 2” 个 ; 对 15 轮 需 要 2 个 。 而 对 于 64 
位 的 分 组 只 有 2” 个 可 能 的 明文 ,所 以 对 于 15 轮 或 以 上 的 RC5 的 差分 攻击 是 失败 的 。 在 6 
轮 后 线性 分 析 就 是 安全 的 了 ,Rivest 推荐 至 少 12 轮 ,甚至 可 能 是 16 轮 。 这 个 轮 数 可 以 进行 
选择 。 

解密 函数 定义 如 下 : 


void RC5_Block Decrypt (RC5_WORD * S, int R,char * in,char * out) 
{ 

int i; 

RC5_WORD A,B; 

A= in[0] & OxFF; 

A += (in[1] & OxFF) << 8; 
A += (in[2] & OxFF) << 16; 
A += (in[3] & OxFF) << 24; 
B= in[4] & OxFF; 

B += (in[5] & OxFF) << 8; 
B += (in[6] & OxFF) << 16; 
B += (in[7] & OxFF) << 24; 
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for(i=R;i>=1;i-——){ 

B= ROTR((B- S[2* i+1]),A,N); 

B=B’A; 

有 = ROTR((A— S[2* i]),B,W); 

A=AB; 

} 

B=B-S[1]; 

A=A—S[0]; 

out[0] = (A >> 0) & OxFF; 

out[1] = (A >> 8) & OxFF; 

out[2] = (A >> 16) & OxFF; 

out[3] = (A >> 24) & OxFF; 

out[4] = (B >> 0) & OxFF; 

out[5] = (B >> 8) & OxFF; 

out[6] = (B >> 16) & OxFF; 

out[7] = (B >> 24) & OxFF; 

return; 

}/ * End of RC5_Block Decrypt */ 

int RC5_CBC_ Decrypt_Init (pAlg, pKey) 
rc5CBCAlg * pAlg; 

rc5UserKey * pKey; 

{ 

证 ((pAlg == ((rc5CBCAlg *) 0)) || 
(pKey ((rc5UserKey * ) 0))) 

return (0); 

RC5_Key_Expand (pKey — > keyLength, pKey — > keyBytes, pAlg—>R,pAlg—>S); 
return (RC5_CBC_SetIV(pAlg, pAlg—>1)); 
} 

int RC5_CBC_Decrypt_Update(rc5CBCAlg * pAlg, int N,char *C,int * plainLen,char *P) 
{ 


int plainIndex, cipherIndex, j; 


plainIndex = cipherIndex = 0; 

for(j=0;j<BB;j++) 

{ 

P[plainIndex] = pAlg — > chainBlock[ j]; 

plainIndex+t+; 

} 

plainIndex = 0; 

while(cipherIndex < N) 

{ 

if(pAlg -> inputBlockIndex < BB) 

{ 

pAlg —> inputBlock[ pAlg — > inputBlockIndex] = C[cipherIndex]; 
pAlg —> inputBlockIndex++; 

cipherIndex++; 

} 

if(pAlg —> inputBlockIndex == BB) 

{ 

pAlg—> inputBlockIndex = 0; 

RC5_Block_Decrypt (pAlg—>S,pAlg—>R,pAlg—> inputBlock, pAlg —> chainBlock); 
for(j=0;j<BB;j++) 


第 6 章 ”序列 密码 技术 


{ 

if(plainIndex < BB) 

P[plainIndex]^ = pAlg — > chainBlock[j]; 
else 

P[plainIndex] = C[cipherIndex — 16 + j]^pAlg—> chainBlock[j]; 
plainIndext++; 

} 

} 

} 

x* plainLen = plainIndex; 

return (1); 

}/ * End of RC5_CBC Decrypt Update* / 


习题 


1. 同步 序列 密码 和 自 同步 序列 密码 的 区 别 是 什么 ? 

2. 序列 密码 和 分 组 密码 的 区 别 是 什么 ? 

3. 判断 序列 110101100100011 的 随机 性 。 

4. 图 6-5 所 示 是 一 个 3- 级 反馈 移 位 寄存 器 ,反馈 函数 /(z) 二 a3 中 a , 初 态 为 110, 求 其 
输出 序列 的 前 8 位 。 

5. 利用 图 6-13 的 加 密 体制 加 密 明文 (xm) 字母 B,10- 级 反馈 移 位 寄存 器 ,其 中 参数 及 初 
态 分 别 为 (cica*…*es-1c,) 二 (1000111001),(asas-1…azai) 二 (0011101001), 求 密 文 (e)。 


数字 签名 由 公 钥 密码 发 展 而 来 , 它 在 网 络 安全 ,包括 身份 认证 ,数据 完整 性 .不 可 否认 性 
以 及 匿名 性 等 方面 有 着 重要 应 用 。 


C.1 数字 签名 概述 


7.1.1 数字 签名 的 产生 


信息 安全 所 面临 的 基本 攻击 类 型 ,包括 被 动 攻 击 (获取 消息 的 内 容 、 业 务 流 分 析 ) 和 主动 
攻击 (假冒 . 重 放 、 消 息 的 算 改 、 业 务 拒 绝 )。 抗 击 被 动 攻击 的 方法 是 加 密 , 抗 击 主动 攻击 的 方 
法 是 消息 认证 。 

消息 认证 是 一 个 过 程 ,用 以 验证 接收 消息 的 真实 性 (的 确 是 由 它 所 声称 的 实体 发 来 的 ) 
和 完整 性 (未 被 自 改 、 插 入 、 删 除 ), 同 时 还 用 于 验证 消息 的 顺序 性 和 时 间 性 (未 重 排 、 重 放 、 
延迟 )。 

报 文 认证 用 以 保护 双方 之 间 的 数据 交换 不 被 第 三 方 侵犯 ,但 它 并 不 保证 双方 自身 的 相 
互 欺 骗 。 假 定 A 发 送 一 个 认证 的 信息 给 B, 双 方 之 间 的 争议 可 能 有 多 种 形式 : 

B 伪造 一 个 不 同 的 消息 ,但 声称 是 从 A 收 到 的 ; 

A 可 以 否认 发 过 该 消息 ,B 无 法 证 明 A 确实 发 了 该 消息 。 

为 了 进一步 确认 双方 的 真实 性 ,数字 签名 应 运 而 生 ,数字 签名 是 认证 的 重要 工具 。 

数字 签名 不 是 指 将 你 的 签名 扫描 成 数字 图 像 ,或 者 用 触摸 板 获 取 的 签名 ,更 不 是 你 的 落 
款 。 经 过 数字 签名 的 文件 的 完整 性 是 很 容易 验证 的 (不 需要 骑 缝 章 , 骑 颖 签名 ,也 不 需要 笔 
迹 专家 ) ,而 且 数字 签名 具有 不 可 抵赖 性 (不 需要 笔迹 专家 来 验证 ) 。 

简单 地 说 ,所 谓 数字 签名 就 是 附加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 做 的 密 
码 变换 。 这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 完 
整 性 并 保护 数据 ,防止 被 人 (例如 接收 者 ) 伪 造 。 它 是 对 电子 形式 的 消息 进行 签名 的 一 种 方 
法 ,一 个 签名 消息 能 在 一 个 通信 网 络 中 传输 。 

数字 签名 与 消息 认证 的 区 别 主 要 体现 在 : 

数字 签名 : 第 三 者 可 以 确认 收发 双方 的 消息 传送 。 

消息 认证 : 只 有 收发 双方 才能 确认 消息 的 传送 。 

数字 签名 与 手工 签名 的 区 别 主要 体现 在 : 


数字 签名 : 数字 的 , 因 消息 而 异 。 
手工 签名 : 模拟 的 , 因 人 而 异 。 


7.1.2 数字 签名 的 原理 
1. 数字 签名 应 具有 的 性 质 


(1) 收 方 能 确认 或 证 实 发 方 的 签字 ,但 不 能 伪造 。 

(2) 发 方 发 出 签名 后 的 消息 ,就 不 能 否认 所 签 的 消息 。 

(3) 收 方 对 已 收 到 的 消息 不 能 和 否认。 

(4) 第 三 者 可 以 确认 收发 双方 之 间 的 消息 传送 ,但 不 能 伪造 这 一 过 程 。 
(5) 必须 能 够 验证 签名 者 及 其 签名 的 日 期 时 间 。 

(6) 必须 能 够 认证 被 签名 消息 的 内 容 。 

(7) 签名 必须 能 够 由 第 三 方 验证 ,以 解决 争议 。 


2. 数字 签名 应 满足 的 要 求 


(1) 签字 的 产生 必须 使 用 发 方 独 有 的 一 些 信息 以 防伪 造 和 和 否认。 

(2) 签字 的 产生 应 较为 容易 。 

(3) 签字 的 识别 和 验证 应 较为 容易 。 

(4) 对 已 知 的 数字 签名 构造 一 新 的 消息 或 对 已 知 的 消息 构造 一 假冒 的 数字 签名 在 计算 
上 都 是 不 可 行 的 。 


3. 数字 签名 的 流程 


数字 签名 的 流程 如 图 7-1 所 示 , 具 体 的 签名 步骤 为 : 

(1) 发 送 方 将 明文 信息 通过 HASH 函数 变 成 消息 摘要 。 

(2) 将 消息 摘要 用 私 钥 加 密 。 

(3) 将 加 密 后 的 摘要 连同 明文 一 起 发 送 给 接收 方 。 

(4) 接收 方 也 将 明文 信息 通过 HASH 函数 变 成 消息 摘要 。 

(5) 将 加 密 后 的 摘要 用 发 送 方 的 公 钥 进行 解密 。 

(6) 比较 解密 的 信息 是 否 与 消息 摘要 吻合 ,如 果 吻 合 即 成 功 签名 。 


4. 数字 签名 的 执行 方式 


数字 签名 的 执行 方式 有 两 类 : 直接 方式 和 具有 仲裁 的 方式 。 直 接 数字 签名 仅 涉及 通信 
双方 ,有 效 性 依赖 发 方 密 钥 的 安全 性 ; 仲裁 数字 签名 使 用 第 三 方 认 证 。 

直接 方式 是 指数 字 签名 的 执行 过 程 只 有 通信 双方 参与 ,并 假定 双方 有 共享 的 秘 钥 或 接 
收 一 方 知道 发 方 的 公 

直接 数字 签名 的 缺点 是 验证 模式 依赖 于 发 送 方 的 保密 密 钥 , 发 送 方 要 抵赖 发 送 某 一 消 
息 时 ,可 能 会 声称 其 私有 密 钥 丢 失 或 被 穷 ,从 而 他 人 伪造 了 他 的 签名 。 通 常 需要 采用 与 私有 
密 钥 安全 性 相关 的 行政 管理 控制 手段 来 制止 或 至 少 是 削弱 这 种 情况 ,但 威胁 在 某 种 程度 上 
依然 存在 。 
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图 7-1 数字 签名 的 流程 


改进 的 方法 可 以 要 求 被 签名 的 信息 包含 一 个 时 间 戳 (日 期 与 时 间 ), 并 要 求 将 已 暴露 的 
密 钥 报告 给 一 个 授权 中 心 。 例 如 X 的 私有 密 钥 确实 在 时 间 工 被 窃取 , 敌 方 可 以 伪造 X 的 签 
名 并 附 上 早 于 或 等 于 时 间 T 的 时 间 惟 。 

引入 仲裁 者 ,通常 的 做 法 是 所 有 从 发 送 方 X 到 接收 方 Y 的 签名 消息 首先 送 到 仲裁 者 
A,A 将 消息 及 其 签名 进行 一 系列 测试 ,以 检查 其 来 源 和 内 容 , 然 后 将 消息 加 上 日 期 并 与 已 
被 仲裁 者 验证 通过 的 指示 一 起 发 给 Y。 

仲裁 者 在 这 一 类 签名 模式 中 扮演 敏感 和 关键 的 角色 ,所 有 的 参与 者 必须 极 大 地 相信 这 
一 仲裁 机 制 工作 正常 。 


C3 利用 RSA 公 钥 密码 体制 实现 数字 签名 


利用 RSA 公 钥 密码 体制 可 以 很 容易 地 实现 数字 签名 。 
设 A 是 发 送 方 ,B 是 接收 方 ,M 为 明文 ,Ka 二 (e,n) 是 A 的 公开 密 钥 , Kas 二 (d,p,g， 
p(n)) 是 A 的 保密 密 钥 , 则 A 对 M 的 签名 过 程 为 
SA = D(M,Ksa) = (Mi) modn 
验证 签名 的 过 程 为 
E(Sa,Ka) = COM) modn=M 
如 果 要 同时 确保 数据 的 秘密 性 和 真实 性 , 则 可 以 采用 先 签名 后 加 密 的 方案 , 即 
(1) A 对 MM 签名 : SA 一 DCOM,KoA)。 
(2) A 对 签名 加 密 : E(Sa ,Ke)。 
(3) A 将 E(S。 ,Ks) 发 送 给 B。 
RSA 的 数字 签名 很 简单 ,但 实际 应 用 还 要 注意 很 多 问题 。 


1. 一 般 攻 击 


由 于 RSA 密码 的 加 密 运 算 和 解密 运算 具有 相同 的 形式 ,都 是 模 索 运算 。 设 e 和 是 用 
户 A 的 公开 密 钥 ,所 以 任何 人 都 可 以 获得 并 使 用 e 和 mw。 攻击 者 首先 随意 选择 一 个 数据 Y， 
并 用 A 的 公开 密 钥 计算 X 一 (Y)” mod n, 于 是 便 可 以 用 Y 伪造 A 的 签名 。 因 为 XX 是 A 对 
Y 的 一 个 有 效 签名 。 

这 种 攻击 实际 上 成 功率 是 不 高 的 ,因为 对 于 随意 选择 的 Y, 通 过 加 密 运 算 后 得 到 的 X 
具有 正确 语义 的 概率 是 很 小 的 。 可 以 通过 认真 设计 数据 格式 或 采用 HASH 函数 与 数字 签 
名 相 结合 的 方法 阻止 这 种 攻击 。 


2. 利用 已 有 的 签名 进行 攻击 


假设 攻击 者 想 要 伪造 A 对 Ms 的 签名 ,可 以 很 容易 地 找到 另外 两 个 数据 M， 和 M: ， 
使 得 
M; = MiM: modn 
首先 设法 让 A 分 别 对 M, 和 Ms 进行 签名 : 
Si = (Mi)*modn 
S, = (M,)* modn 
这 时 攻击 者 就 可 以 用 S, 和 S; 计算 出 A 对 Ms 的 签名 Si : 
(S152) mod n= ((Mi)* (M3)*) mod n= ((M3)*) mod n= 5S; 
对 付 这 种 攻击 的 方法 是 用 户 不 要 轻易 对 其 他 人 提供 的 随机 数据 进行 签名 。 更 有 效 的 方 
法 是 不 直接 对 数据 签名 ,而 是 对 数据 的 HASH 值 签名 。 


3. 利用 签名 进行 攻击 获得 明文 


如 果 攻 击 者 截获 了 密 文 C,C=M' mod n, 想 要 求 出 明文 M, 可 以 通过 选择 一 个 小 的 随 
机 数 ,计算 
=r modn 


yy 一 xzC modn 
1 


因为 zx 一 mod n, 所 以 
Xe = (rr) mod nx =r modn 
可 以 让 发 送 者 对 y 签名 ,于 是 攻击 者 又 获得 
S=y modn 
计算 
IS modn=rmy modn=r riC modn=C modn=M 

于 是 明文 M 可 求 。 

对 付 这 种 攻击 的 方法 也 是 用 户 不 要 轻易 地 对 其 他 人 提供 的 随机 数据 进行 签名 。 最 好 是 
不 直接 对 数据 签名 ,而 是 对 数据 的 HASH 值 签 名 。 


4. 对 先 加 密 后 签名 方案 的 攻击 
假设 用 户 A 采用 先 加 密 后 签名 的 方案 把 M 发 送 给 用 户 B, 则 先 用 B 的 公开 密 钥 es 对 
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M 加 密 , 然 后 用 自己 的 私 钥 ds 签名 。 再 设 A 的 模 为 ns ,B 的 模 为 ns 。 于 是 A 发 送 数据 给 B: 
((M)’s mod zs) mod na 

如 果 B 是 不 诚实 的 , 则 他 可 以 用 Mi 抵赖 M, 而 A 无 法 争辩 。 因 为 加 是 B 对 模 , 所 以 B 
知道 np 的 因子 分 解 , 于 是 就 能 计算 模 ns 的 离散 对 数 。 然 后 可 以 公布 新 公开 的 密 钥 为 ze 。 
这 时 就 可 以 宣布 收 到 的 是 Mi 而 不 是 M。 

A 无 法 争辩 的 原因 在 于 下 式 成 立 : 

((Mi)™s mod mp)as mod na = ((M)’s mod ng) mod na 

为 了 对 付 这 种 攻击 ,发 送 者 应 当 在 发 送 的 数据 中 加 入 时 间 戳 ,从 而 证 明 是 用 es 对 M 加 
密 ,而 不 是 用 新 公开 的 密 钥 zes 对 Mi 加 密 的 。 另 一 个 对 付 这 种 攻击 的 方法 是 经 过 HASH 
处 理 后 再 签名 。 

总 之 ,对 付 对 数字 签名 攻击 最 好 的 方法 是 不 要 直接 对 数据 签名 ,而 应 对 数据 的 HASH 
值 签名 ; 其 次 是 要 采用 先 签名 后 加 密 的 数字 签名 方案 ,而 不 是 采用 先 加 密 后 签名 的 数字 签 
名 方案 。 


C3 数字 签名 标准 


数字 签名 标准 (Digital Signature Standard,DSS) 是 1991 年 8 月 由 美国 NIST 公布 的 ， 
1994 年 5 月 19 日 正式 公布 ,并 于 1994 年 12 月 1 日 被 采纳 为 美国 联邦 信息 处 理 标 准 。DSS 
为 EIGamal 和 Schnorr 签名 方案 的 改进 ,其 使 用 的 算法 记 为 DSA (Digital Signature 
Algorithm) ,此 算法 由 D. W. Kravitz 设计 。DSS 使 用 了 SHA ,安全 性 基于 求 离散 对 数 的 


7.3.1 DSS 的 基本 方式 


RSA 算法 既 能 用 于 加 密 和 签字 ,又 能 用 于 密 钥 交 换 。 与 此 不 同 ,DSS 使 用 的 算法 只 能 
提供 数字 签名 功能 。 图 7-2 用 于 比较 RSA 签字 和 DSS 签字 的 不 同方 式 。 


(ER 
SKA 比较 
上 7 
-B® Es [HMD] 


(a) RSA 签字 


(b) DSS 签字 


图 7-2 ”RSA 签字 与 DSS 签字 的 不 同方 式 


第 7 章 数字 签名 MY 


采用 RSA 签字 时 ,将 消息 输入 一 个 杂凑 函数 以 产生 一 个 固定 长 度 的 安全 杂凑 值 ,再 用 


发 方 的 密 钥 加 密 杂 凑 值 就 形成 了 对 消息 的 签字 。 消 息 及 其 签字 被 一 起 发 给 收 方 , 收 方 得 到 
消息 后 再 产生 消息 的 杂凑 值 , 且 使 用 发 方 的 公 钥 对 收 到 的 签字 解密 。 这 样 收 方 就 得 到 了 两 
个 杂 凌 值 ,如 果 两 个 杂凑 值 是 一 样 的 , 则 认为 收 到 的 签字 是 有 效 的 。 


DSS 签字 也 利用 一 杂凑 函数 产生 消息 的 一 个 杂凑 值 ,杂凑 值 连同 一 随机 数 上 一 起 作为 


签字 函数 的 输入 ,签字 函数 还 需 使 用 发 送 方 的 密 钥 SKA 和 供 所 有 用 户 使 用 的 一 组 参数 , 称 
这 一 组 参数 为 全 局 公 钥 PKc 。 签 字 函 数 的 两 个 输出 和 x 就 构成 了 消息 的 签字 (s,r)。 接 
收 方 收 到 消息 后 再 产生 消息 的 杂凑 值 ,将 杂凑 值 与 收 到 的 签字 一 起 输入 验证 函数 ,验证 琐 数 
还 需 输入 全 局 公 钥 PKc 和 发 送 方 的 公 钥 PKa。。 验 证 函数 的 输出 如 果 与 收 到 的 签字 成 分 x 
相等 , 则 验证 了 签字 是 有 效 的 。 


7.3.2 DSA 算法 
DSA 算法 的 签字 过 程 和 验证 过 程 如 图 7-3 所 示 , 其 具体 步骤 为 ; 


pgqsg 


| 


(a) 签字 过 程 (b) 验证 过 程 
图 7-3 DSA 算法 的 签字 过 程 和 验证 过 程 


(1) 公开 参数 。 

p: 512 至 1024 位 的 大 质数 ; 

gq: 160 位 的 p 一 1 之 质 因子 ; 

g: 8 二 Ww ?4 mod p, 其 中 过 p 一 1 且 5 mod p 记 1; 
:一 个 单 向 杂凑 函数 ,输出 值 为 160 位 。 

注 : 搭配 DSA 的 单 向 杂 竣 函数 标准 为 SHA-1。 

(2) 密 钥 产生 。 每 一 个 使 用 者 任 选 一 个 整数 zxE Z, 为 私 钥 ,并 计算 公 钥 y= 二 g* mod p。 
(3) 签署 程序 。 

任 选 一 数 E<d。 

计算 r=(g* mod p) mod g。 

计算 s=k7?(h(MD) 十 zr) mod gq。 

(r,s) 为 M 的 数字 签 章 。 

(4) 验证 程序 。 

计算 
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b=ah(M) modg 

c=ra modg 

d= (gxXy. modp) modg 
车 d 二 7r, 则 (r,s) 通 过 验证 。 


C.4 其 他 签字 方案 


7.4.1 GOST 数字 签名 算法 


GOST 数字 签名 算法 是 俄罗斯 于 1995 年 公布 的 数字 签名 标准 ,其 做 法 与 DSA 很 类 似 ， 
但 具有 使 用 弹性 ,安全 度 也 较 高 ,其 具体 的 步骤 为 : 

(1) 算法 参数 。 

户 : 509 一 512 位 或 1020 一 1024 位 的 一 个 大 质数 。 

q: 254 一 256 位 的 p 一 1 之 质 因 子 。 

8: 任意 小 于 p 一 1 的 整数 ,满足 g* mod pp 一 1。 

凡 : 一 个 单 向 杂凑 函数 。 

GOST 数字 签名 算法 使 用 一 个 单 向 HASH 函数 。 

(2) 密 钥 产生 。 每 一 个 使 用 者 任 选 一 个 整数 zxE Z, 为 私 钥 , 并 计算 公 钥 y 一 gr mod p。 

(3) 签署 程序 。 

任 选 一 数 kg。 

计算 


r= (g: mod p) modg 
s= (zr+hkh(M)) modg 
车 h(M) mod g 二 0, 则 令 hm) 二 1; 
若 一 0, 则 重复 回 步 骤 (1) 执 行 。 
(rs) 为 M 的 数字 签名 。 
(4) 验证 程序 。 
计算 以 下 参数 : 
a=h(M)"’ modg 
b=sa modg 
c=a(g—r) modg 
d= (g* Xe modp) modg 
车 d 二 7r, 则 (r,s) 通 过 验证 。 
理论 上 GOST 签名 与 ELGamal 签名 和 DSS 类 似 。 为 了 更 加 安全 ,GOST 签名 采用 了 
更 大 的 素数 g。 一 般 学 者 认为 160 位 的 g 就 足够 了 ,因此 DSS 采用 160 位 ,但 GOST 签名 却 
采用 了 256 位 的 gq, 这 说 明 俄罗斯 希望 自己 的 签名 标准 更 安全 。 由 于 参数 g 较 大 , 故 其 签名 
速度 比 DSS 慢 。 在 DSS 中 采用 的 签名 公式 为 ;二 (sr 十 k7!1(SHACM)) mod g), 而 在 GOST 
签名 中 却 采 用 了 s 二 (Csr 十 kH(M)) mod g) ,其 区 别 为 一 个 使 用 参数 ,一 个 使 用 参数 &7!， 


从 而 导致 签名 的 验证 过 程 也 不 同 。 
7.4.2 不 可 否认 的 数字 签名 算法 


不 可 否认 的 数字 签名 是 1989 年 由 Chaum 和 Antwerpen 提出 的 。 不 可 否认 的 数字 签 
名 是 一 种 特殊 的 数字 签名 , 它 具 有 一 些 新 颖 的 特征 ,没有 签名 者 的 合作 ,接收 者 就 无 法 验证 
签名 ,在 某 种 程度 上 保护 了 签名 者 的 利益 。 

不 可 否认 的 数字 签名 有 一 些 特定 的 应 用 场合 ,例如 软件 开发 者 可 利用 不 可 否认 的 数字 
签名 对 他 们 的 软件 进行 保护 ,使 得 只 有 付 了 钱 的 顾客 才能 验证 签名 并 相信 开发 者 仍然 对 软 
件 负 责 。 

一 个 不 可 否认 的 签名 的 真 伪 性 是 通过 接收 者 和 签名 者 执行 一 个 协议 来 推断 的 ,这 个 协 
议 称 做 否认 协议 。 因 为 签名 者 可 声称 一 个 合法 的 签名 是 伪造 的 ,在 这 种 情况 下 ,如 果 签名 者 
拒绝 参加 验证 ,就 可 以 认为 签名 者 有 欺骗 行为 。 如 果 签 名 者 参加 验证 ,由 否认 协议 就 可 推断 
出 签名 者 的 真 伪 性 。 

一 个 不 可 否认 的 数字 签名 方案 由 三 部 分 组 成 : 签名 算法 、 验 证 协议 和 否认 协议 。 签 名 
算法 和 验证 的 步骤 为 : 

(1) 系统 公开 参数 。 

思 : 大 质数 ; 

g: mod p 的 一 个 本 原 元 。 

(2) 密 钥 产生 。 

私 钥 : xE€2,; 

公 钥 : y=g* mod p。 

(3) 签署 程序 。 签 名 : z+ 三 m” mod p( 欲 签署 信 息 为 m)。 

(4) 验证 签名 程序 。 

验证 者 任 选 二 数 a,5 二 p, 计 算 c 二 >*(g*)* mod p, 并 将 c 送 给 原 签署 者 。 

原 签署 者 计算 d 二 c* mod p, 并 将 之 送 给 验证 者 。 

验证 者 检验 d= 二 mg* mod p 是 否 成 立 。 若 成 立 , 则 = 通过 验证 。 


7.4.3 Fail-Stop 数字 签名 算法 


Fail-Stop 数字 签名 的 不 可 伪造 性 依赖 于 一 个 计算 假设 ,但 是 如 果 一 个 签名 被 伪造 , 那 
么 假定 的 签名 者 能 证 明 这 个 签名 是 一 个 伪造 签名 。 更 精确 地 说 ,能 证 明 做 基础 的 计算 假设 
一 定 被 攻破 ,这 个 证 明 伪造 的 能 力 不 依 赖 于 任何 密码 假设 并 独立 于 伪造 者 的 计算 能 力 , 这 样 
能 保护 一 个 多 项 式 界定 签名 者 免 遭 具有 无 限 计 算 能 力 的 伪造 者 的 攻击 。 再 者 ,在 第 一 次 伪 
造 之 后 ,系统 的 所 有 参加 者 或 系统 操作 人 员 都 知道 签名 方案 已 被 攻破 ,因此 系统 将 终止 工 
作 , 这 也 是 这 个 系统 为 什么 称 做 Fail-Stop( 失 败 -停止 ) 的 原因 。 

Fail-Stop 数字 签名 方案 适合 于 联 用 对 电子 支付 系统 ,在 这 个 系统 中 可 使 顾客 无 条 件 地 
安全 ,顾客 无 需 担 心 银 行 能 攻破 签名 方案 的 基础 假设 。 

一 个 Fail-Stop 数字 签名 方案 主要 由 三 个 算法 组 成 : 签名 算法 、 验 证 算法 和 伪造 证 明 。 
一 个 安全 的 Fail-Stop 数字 签名 方案 应 具有 以 下 特性 : 
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(1) 如 果 签 名 者 正确 地 签 一 个 消息 ,那么 接收 者 接收 这 个 签名 ， 

(2) 一 个 多 项 式 界定 DF 伪造 者 不 能 构造 签名 使 之 通过 验证 ; 

(3) 如 果 一 个 具有 无 限 计 算 能 力 的 伪造 者 成 功 地 构造 了 一 个 签名 使 之 通过 验证 ,那么 
这 个 概率 是 极 小 的 ,签名 者 能 产生 一 个 伪造 证 明 使 得 第 三 方 相信 一 个 伪造 已 经 发 生 ; 

(4) 一 个 多 项 式 界 的 签名 者 不 能 构造 一 个 假 签 名 使 后 来 证 明 是 一 个 伪造 。 

达到 这 些 特 性 的 基本 观点 是 对 应 于 每 个 公 钥 有 许多 密 钥 , 并 且 对 同一 个 消息 不 同 的 密 
钥 给 出 不 同 的 签名 。 签 名 者 恰好 知道 这 些 密 钥 中 的 一 个 ,并 且 对 一 个 给 定 的 消息 只 能 构造 
可 能 签名 中 的 一 个 。 然 而 ,对 一 个 新 消息 即使 一 个 具有 无 限 计 算 能 力 的 伪造 者 也 没有 充分 
的 消息 确定 签名 者 能 构造 众多 可 能 的 签名 中 的 哪 一 个 。 因 此 ,一 个 伪造 签名 以 很 高 的 概率 
不 同 于 签名 者 已 经 构造 的 签名 。 而 对 同一 个 消息 的 两 个 不 同 签名 的 知识 产生 了 一 个 伪造 
证 明 。 


7.4.4 基于 离散 对 数 问题 的 数字 签名 法 


基于 离散 对 数 问题 的 数字 签名 法 是 以 EIGamal 方法 为 主要 代表 的 ,其 具体 的 步骤 为 

(1) 公开 参数 。 

思 : 一 个 大 质数 ; 

gq: 为 p 一 1 或 p 一 1 的 一 个 大 质 因子 ;， 

8: 1 二 g<g, 满 足 g*==1 mod p; 

岂 : 一 个 单 向 杂凑 机 数 。 

(2) 密 钥 产生 。 每 一 个 使 用 者 任 选 一 个 整数 zxE Z, 为 私 钥 , 并 计算 公 钥 y= 二 g* mod p。 

(3) 签署 及 验证 签 章 。 签 署 一 个 信息 m 时 (通常 m 需 经 过 h 转换 以 防止 选择 密 文 攻 
击 ) ,签署 者 首先 任 选 一 个 随机 数 kE Z, ,满足 gcd(k,q) 王 1; 接 下 来 ,计算 r=g* mod p 与 
r=r mod dg。 


数字 签 章 (r,s) 产 生 与 验证 公式 如 表 7-1 所 示 。 
表 7-1 签 章 产生 与 验证 式 


签 章 产生 式 签 章 验证 式 
rk=s+mz( mod g) "=gXy"( mod p) 
rk=m++sz( mod g) r=g"Xy'( mod p) 
sk=r'+mz( mod g) 三 一 入 Xy"( mod p) 
k=m 二 rr( mod g) r=g"Xy ( mod p) 
mk=s+rir( mod gq) "=g'Xy ( mod p) 
mk=r +sr( mod 9g) m=g" Xy'( mod p) 


7.4.5 Ong-Schnorr-Shamir 签 章 法 


此 签 章法 是 由 Ong，Schnorr 与 Shamir 于 1984 年 所 提出 的 ,但 在 1987 年 被 证 明 为 不 
安全 ,直到 1993 年 才 有 人 提出 一 个 安全 的 改进 方法 。 该 签 章法 最 大 的 优点 为 计算 复杂 度 相 
当 低 ,大 部 分 用 于 计算 能 力 较 差 的 IC 卡 或 行动 通信 系统 的 应 用 ,其 具体 的 步骤 为 : 

(1) 密 钥 产生 。 首 先 ,系统 公布 一 个 大 合成 数 ,但 秘密 保留 n 所 含 的 大 质 因 子 p 与 gq。 


任 选 一 数 &, 满 足 gcd(k,n) 二 1, 并 计算 
e 一 一 上 2 mod n=—(k !)’? mod n。 

公 钥 为 (e,n) , 私 钥 为 人 。 

(2) 签署 程序 ( 欲 签署 信息 为 m)。 

任 选 一 数 ~, 满 足 gcd(r,z) 一 1。 


计算 
51 一 了 X (mr 十 r) modn 
a k 一 
5 一 了 X (Ca 一 r) modn 
(51，52) 为 m 的 数字 签 章 。 
(3) 验证 程序 。 


签 章 验证 式 : si 十 eXs 一 mmod n)。 
7.4.6 ESIGN 签 章法 


ESIGN 签 章法 是 由 日 本 NTT 的 TT. Okamoto 于 1990 年 所 发 明 的 方法 ,可 以 视 为 日 本 
的 数字 签名 标准 。1999 年 ,ESIGN 也 正式 被 列 入 ISO 国际 标准 。 在 相同 的 密 钥 长 度 与 签 
章 大 小 的 条 件 之 下 ,ESIGN 签署 与 验证 程序 比 RSA 或 DSA 都 要 来 得 快速 ,其 具体 的 步 
又 为 ， 
(1) 密 钥 产生 。 任 选 一 组 大 质数 p 与 q( 至 少 为 192 位 ), 并 计算 =p*Xg, 其 中 ,n 为 公 
钥 ,p 与 q 为 私 钥 。 
公布 一 个 单 向 杂 凌 函数 与 一 个 整数 k, 其 中 hm) 的 输出 值 , 介 于 0 与 mm 一 1 之 间 ,kE 
{8,16,32,64,128,256,512,1024}。 
(2) 签署 程序 (和 欲 签署 信息 为 m)。 任 选 一 数 k( 视 安全 需求 而 定 )。 
计算 
pe 2 — x*) mod | 
pxgq 
s=ZX+(wX kX) mod p)xpxg 
5 为 m 的 数字 签 章 。 
(3) 验证 程序 。 
车 hm) 三 s* mod nn 过 hm) 十 2 , 则 s 通过 验证 ,|n| 为 nn 的 位 数 。 


7.4.7 ” 盲 签名 算法 


在 普通 数字 签名 中 ,签名 者 总 是 先知 道 数据 的 内 容 后 才 实施 签名 ,这 是 通常 的 办 公事 务 
所 需要 的 。 但 有 时 却 需要 某 个 人 对 某 数 据 签名 ,而 又 不 能 让 他 知道 数据 的 内 容 , 称 这 种 签名 
为 讶 签名。 在 无 记名 投票 选举 和 数字 化 货币 系统 中 往往 需要 这 种 盲 签名 ,因此 盲 签名 在 电 
子 商务 和 电子 政务 系统 中 有 着 广泛 的 应 用 前 景 。 

盲 签 名 与 普通 签名 相 比 有 两 个 显著 的 特点 : 

(1) 签名 者 不 知道 所 签署 的 具体 内 容 。 
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(2) 在 签名 被 接收 者 泄露 后 ,签名 者 不 能 追踪 签名 。 

为 了 满足 这 两 个 条 件 ,接收 者 首先 将 待 签 数据 进行 言 变换 ,把 变换 后 的 盲 数 据 发 给 签名 
者 ,经 签名 者 签名 后 再 发 给 接收 者 。 接 收 者 对 签名 再 进行 去 盲 变换 ,得 出 的 便 是 签名 者 对 原 
数据 的 讶 签名。 这 样 便 满足 了 条 件 1。 要 满足 条 件 2, 必 须 使 签名 者 事后 看 到 盲 签名 时 不 能 
与 盲 数 据 联系 起 来 ,这 通常 是 依靠 某 种 协议 来 实现 的 。 

讶 签名 的 具体 步骤 为 : 

(1) 系统 参数 。 如 同 RSA 所 定义 的 参数 ,签署 者 的 公 钥 为 (e,z) , 私 钥 为 d。 

(2) 签署 程序 。 假 设 A 欲 让 B 签署 一 个 信息 ,但 不 让 B 知道 m。 

A 任 选 一 随机 数 &,1 一 A 一 2 ,并 计算 :二 mXk* mod n, 随 后 ,A 将 1 送 给 B 签署 。 

B 签署 14, 亦 即 1 二 (mXk*)4 mod n。 

A 计算 m 的 签名 如 下 : s 二 LXk7! mod n, 亦 即 s==m* mod n。 

(3) 验证 程序 。 


m= Smodn 


7.4.8 代理 签名 算法 


代理 签名 (Agent Signature Scheme) 是 指 用 户 由 于 某 种 原因 指定 某 个 代理 代替 自己 签 
名 。 例 如 ,A 处 长 需要 出 差 ,而 这 些 地 方 不 能 很 好 地 访问 计算 机 网 络 。 因 此 A 希望 接收 一 
些 重要 的 电子 邮件 ,并 指示 其 秘书 B 做 相应 的 回信 。A 在 不 把 其 私 钥 给 B 的 情况 下 ,可 以 
请 B 代理 ,这 种 代理 具有 下 面 的 特性 : 

(1) 任何 人 都 可 区 别 代理 签名 和 正常 的 签名 。 

(2) 不 可 伪造 性 : 只 有 原始 签名 者 和 指定 的 代理 签名 者 能 够 产生 有 效 的 代理 签名 , 代 
理 签名 者 必须 创建 一 个 能 检测 到 是 代理 签名 的 有 效 代理 签名 。 

(3) 可 验证 性 : 从 代理 签名 中 ,验证 者 能 够 相信 原始 的 签名 者 认同 了 这 份 签名 消息 。 

(4) 可 识别 性 : 原始 签名 者 能 够 从 代理 签名 中 识别 代理 签名 者 的 身份 。 

(5) 不 可 否认 性 : 代理 签名 者 不 能 否认 由 他 建立 且 被 认可 的 代理 签名 。 

代理 签名 的 具体 步骤 为 : 

(1) 系统 公开 参数 。 

Pp: 大 质数 ; 

g: mod p 的 一 个 本 原 元 。 

(2) 原始 签署 者 的 私 钥 及 公 钥 (z,y): rE2,,y 二 g* mod p。 

(3) 代理 密 钥 产 生 程序 : 原始 签署 者 执行 以 下 步骤 。 

任 选 一 随机 数 kEZ,_1, 计 算 K==g* mod p 与 6 二 x 十 kK mod p 一 1。 

将 代理 密 钥 (o,K) 秘 密 传送 给 代理 签 团 者 。 

(4) 代理 验证 程序 。 

代理 签署 者 检验 代理 密 钥 的 有 效 性 : g’ 二 yK* mod p。 

车 上 式 成 立 , 则 代理 签署 者 接受 (oc,K) 为 有 效 代 理 密 钥 ; 否则 退回 (o,K) 并 要 求 原始 签 
署 者 另外 代理 密 钥 ,或 终止 执行 以 下 程序 。 

(5) 签署 程序 。 令 m 为 欲 签署 信息 。 代 理 签署 者 使 用 e 作为 签署 密 钥 ,利用 基于 离散 


对 数 mod p 的 数字 签名 技术 产生 签名 Sig, (mm) ,并 将 (m,Sig,(m) ,K) 传 送 给 验证 者 。 
(6) 验证 签名 程序 。 验 证 者 计 y 二 yK* mod p, 将 y 视 为 原始 签署 者 新 的 公 钥 ,并 执行 
签名 验证 程序 以 验证 代理 签名 。 


Cs 认证 协议 


安全 可 靠 的 通信 除 需 进行 消息 的 认证 外 ,还 需 建立 一 些 规范 的 协议 对 数据 来 源 的 可 靠 
性 ,通信 实体 的 真实 性 加 以 认证 ,以 防止 欺骗 .伪装 等 攻击 。 

网 络 通信 的 一 个 基本 问题 A 和 BB 是 网 络 的 两 个 用 户 , 他 们 想 通 过 网 络 先 建立 安全 的 
共享 密 钥 再 进行 保密 通信 。 那 么 ACB) 如 何 确信 自己 正在 和 BCA) 通 信 而 不 是 和 C 通信 呢 ? 
这 种 通信 方式 为 双向 通信 ,因此 ,此 时 的 认证 称 为 相互 认证 。 对 于 单 向 通信 来 说 ,认证 称 为 
单 向 认证 。 

相互 认证 是 最 常用 的 协议 ,该 协议 使 得 通信 各 方 互相 认证 鉴别 各 自 的 身份 ,然后 交换 会 
话 密 钥 。 基 于 认证 的 密 钥 交 换 的 核心 问题 包括 保密 性 和 时 效 性 。 

为 了 防止 伪装 和 暴露 会 话 密 钥 ,基本 认证 与 会 话 密码 信息 必须 以 保密 形式 通信 。 这 就 
要 求 预先 存在 保密 或 公开 密 钥 以 实现 加 密使 用 ,同时 要 防止 消息 重 放 攻击 。 

所 谓 消息 重 放 是 指 在 最 坏 情况 下 可 能 导致 向 敌人 暴露 会 话 密 钥 ,或 成 功 地 冒充 其 他 人 ， 
至 少 也 可 以 干扰 系统 的 正常 运行 ,处 理 不 好 将 导致 系统 瘫痪 。 常 见 的 消息 重 放 攻 击 形式 有 : 

(1) 简单 重 放 。 攻 击 者 简单 复制 一 条 消息 ,以 后 再 重新 发 送 它 。 

(2) 可 被 日 志 记 录 的 重 放 。 攻 击 者 可 以 在 一 个 合法 有 效 的 时 间 窗 内 重 放 一 个 带 时 间 截 
的 消息 。 

(3) 不 能 被 检测 到 的 重 放 。 这 种 情况 可 能 出 现 , 原 因 是 原始 信息 已 经 被 拦截 ,无 法 到 达 
目的 地 ,而 只 有 重 放 的 信息 到 达 目 的 地 。 

(4) 反 向 重 放 , 不 做 修改 。 向 消息 发 送 者 重 放 。 当 采用 传统 对 称 加 密 方式 时 ,这 种 攻击 
是 可 能 的 。 因 为 消息 发 送 者 不 能 简单 地 识别 发 送 的 消息 和 收 到 的 消息 在 内 容 上 的 区 别 。 

对 付 重 放 攻 击 的 一 种 方法 是 在 认证 交换 中 使 用 一 个 序列 号 来 给 每 一 个 消息 报 文 编 号 。 
仅 当 收 到 的 消息 序数 顺序 合法 时 才 接 受 之 。 但 这 种 方法 的 困难 是 要 求 双方 必须 保存 上 次 消 
息 的 序号 。 

保证 消息 的 实时 性 常用 的 有 时 间 惟 和 询问 -应 答 两 种 方法 。 

时 间 戳 : 如 果 A 收 到 的 消息 包括 一 时 间 截 , 且 在 A 看 来 这 一 时 间 截 充分 接近 自己 的 当 
前 时 刻 , A 才 认 为 收 到 的 消息 是 新 的 并 接受 之 。 这 种 方案 要 求 所 有 各 方 的 时 钟 是 同步 的 。 

询问 -应 答 : 用 户 A 向 B 发 出 一 个 一 次 性 随机 数 作为 询问 ,如 果 收 到 B 发 来 的 消息 (应 
答 ) 也 包含 一 个 正确 的 一 次 性 随机 数 ,A 就 认为 B 发 来 的 消息 是 新 的 并 接受 之 。 

时 间 截 方法 似乎 不 能 用 于 面向 连接 的 应 用 ,因为 该 技术 固有 的 困难 包括 : 

(1) 某 些 协议 需要 在 各 种 处 理 器 时 钟 中 维持 同步 。 该 协议 必须 既 要 容错 以 对 付 网 络 出 
错 ,又 要 安全 以 对 付 重 放 攻 击 ; 

(2) 由 于 某 一 方 的 时 钟 机 制 故障 可 能 导致 临时 失去 同步 ,这 将 增 大 攻击 成 功 的 机 会 ; 

(3) 由 于 变化 的 和 不 可 预见 的 网 络 延 迟 的 本 性 ,不 能 期 望 分 布 式 时 钟 保持 精确 的 同步 。 
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因此 ,任何 基于 时 间 截 的 过 程 必须 采用 时 间 窗 的 方式 来 处 理 : 一 方面 时 间 窗 应 足够 大 以 包 
容 网 络 延 迟 , 另 一 方面 时 间 窗 应 足够 小 以 最 大 限度 地 减 小 遭受 攻击 的 机 会 。 

而 询问 -应 答 方式 则 不 适合 无 连接 的 应 用 过 程 ,这 是 因为 在 无 连接 传输 以 前 需 经 询问 - 
应 答 这 一 额外 的 握手 过 程 , 这 与 无 连接 应 用 过 程 的 本 质 特性 不 符 。 对 无 连接 的 应 用 程序 来 
说 ,利用 某 种 安全 的 时 间 服 务 器 保持 各 方 时 钟 同步 是 防止 重 放 攻击 最 好 的 方法 。 


C.6 散 列 函 数 


7.6.1 单 向 散 列 函数 


散 列 函数 (Hash Function) 是 一 种 从 任何 一 种 数据 中 创建 小 的 数字 “指纹 ”的 方法 。 该 
函数 将 数据 打 乱 混合 ,重新 创建 一 个 叫做 散 列 值 的 指纹 。 散 列 值 通常 用 来 代表 一 个 短 的 随 
机 字母 和 数字 组 成 的 字符 串 。 好 的 散 列 函数 在 输入 域 中 很 少 出 现 散 列 冲突 。 在 散 列表 和 数 
据 处 理 中 ,不 抑制 冲突 来 区 别 数据 ,会 使 得 数据 库 记 录 更 难 找 到 。 

所 有 散 列 函数 都 有 一 个 基本 特性 : 如 果 两 个 散 列 值 是 不 相同 的 (根据 同一 函数 ) ,那么 
这 两 个 散 列 值 的 原始 输入 也 是 不 相同 的 。 这 个 特性 使 散 列 函数 具有 确定 性 的 结果 。 但 另 一 
方面 , 散 列 函 数 的 输入 和 输出 不 是 唯一 对 应 的 关系 ,如 果 两 个 散 列 值 相 同 ,两 个 输入 值 很 可 
能 是 相同 的 。 但 也 可 能 不 同 ,这 种 情况 称 为 杂凑 碰撞 ,这 通常 是 两 个 不 同 长 度 的 散 列 值 , 刻 
意 计 算出 相同 的 输出 值 。 输 入 一 些 数据 计算 出 散 列 值 ,然后 部 分 改变 输入 值 , 一 个 具有 强 混 
淆 特性 的 散 列 函数 会 产生 一 个 完全 不 同 的 散 列 值 。 

由 于 散 列 函 数 应 用 的 多 样 性 ,它们 经 常 是 专 为 某 一 应 用 而 设计 的 。 例 如 ,加 密 散 列 函 数 
假设 存在 一 个 要 找到 具有 相同 散 列 值 的 原始 输入 的 敌人 。 一 个 设计 优秀 的 加 密 散 列 函数 是 
一 个 单 向 操作 : 对 于 给 定 的 散 列 值 ,没有 实用 的 方法 可 以 计算 出 一 个 原始 输入 ,也 就 是 说 很 
难 伪造 。 以 加 密 散 列 为 目的 设计 的 函数 ,如 MD5, 被 广泛 地 用 作 检 验 散 列 函数 。 这 样 软件 
下 载 的 时 候 , 就 会 对 照 验证 代码 之 后 才 下 载 正确 的 文件 部 分 。 此 代码 有 可 能 因为 环境 因素 
的 变化 ,如 机 器 配置 或 者 IP 地 址 的 改变 而 有 变动 ,以 保证 源 文件 的 安全 性 。 错 误 监测 和 修 
复 函 数 主要 用 于 辨别 数据 被 随机 的 过 程 所 扰乱 的 事例 。 当 散 列 函 数 被 用 于 校 验 和 的 时 候 ， 
可 以 用 相对 较 短 的 散 列 值 来 验证 任意 长 度 的 数据 是 否 被 更 改过 。 

定义 7-1 如果 函 数 h 满足 下 列 性 质 , 则 称 h 是 一 个 散 列 函 数 。 

(1) 压缩 性 : 任意 有 限 长 度 的 输入 zz, 为 固定 长 度 的 输出 h(z); 

(2) 易 计 算 : 给 定 输入 工 ,h(z) 是 易 计算 的 。 

显然 ,将 消息 对 应 到 散 列 函 数值 是 一 个 多 对 一 定 映射 ,所 以 ,可 能 出 现 多 个 不 同 消息 具 
有 相同 散 列 函 数值 的 情形 ,这 种 现象 称 为 碰撞 。 


7.6.2 无 碰撞 散 列 函数 和 离散 对 数 散 列 函数 


当 攻 击 者 对 一 个 散 列 函数 进行 攻击 时 ,一 种 可 能 的 方式 是 : 设 (z,y) 是 一 个 有 效 的 签 
名 ,h(xz) 是 消息 的 散 列 函 数值 ,y= 二 sigs (h(xz)) 是 对 散 列 值 h(x) 的 签名 。 如 果 攻 击 者 找到 
一 个 消息 xz 隆 x,h(z ) 二 h(xz), 则 (zx,y) 是 一 个 有 效 签名 ,但 它 是 一 个 伪造 签名 。 当 然 ,一 
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般 地 ,zx 只 能 是 一 个 随机 消息 ,不 过 ,攻击 者 达到 了 干扰 通信 的 目的 。 为 了 阻止 这 种 攻击 , 散 
列 函 数 必须 满足 下 面 定义 的 弱 无 碰撞 性 。 

定义 7-2 ”如 果 对 给 定 的 一 个 消息 z, 找 到 一 个 满足 x' 隆 x,h(z)==h(z) 的 消息 zz 是 计 
算 上 不 可 能 的 , 则 称 散 列 函 数 h 是 弱 无 碰撞 的 。 

另 一 种 可 能 的 攻击 是 : 攻击 者 事先 找到 两 个 消息 xz' 隆 z,h(zx ) 二 h(x), 并 骗 得 签名 者 
对 消息 z 的 签名 , 则 (zx ,nz )) 二 (zx,h(z)) 就 是 一 个 合法 的 伪造 签名 。 

为 了 防止 这 种 伪造 ,需要 更 强 的 无 碰撞 性 。 

定义 7-3 ”如 果 找 到 两 个 满足 x' 关 zx,h(z') 二 h(xz) 的 消息 xz,zx 是 计算 上 不 可 能 的 , 则 
称 散 列 函 数 h 是 强 无 碰撞 的 。 

显然 ,如 果 一 个 散 列 函 数 是 强 无 碰撞 的 , 则 该 函数 一 定 是 弱 无 碰撞 的 。 

可 以 证 明 强 无 碰撞 性 包含 了 单 向 性 。 事 实 上 ,如 果 一 个 散 列 函数 不 具有 单 向 性 ,而 具有 
一 个 逆 算 法 , 则 存在 一 个 寻找 碰撞 的 概率 算法 Las Vagas 算法 ,能 找到 一 个 碰撞 的 概率 至 少 

可 见 , 强 无 碰撞 性 是 一 个 很 强 的 概念 , 它 不 但 包含 了 弱 无 碰撞 性 ,又 包含 了 单 向 性 。 所 
以 ,安全 的 散 列 函数 应 该 是 强 无 碰撞 的 。 

Chaum-van Heijst-Pfitzmann 提出 一 个 基于 离散 对 数 的 散 列 函数 ,其 描述 如 下 : 

假设 p= 二 2g 十 1 是 一 个 大 素数 ,其 中 g 也 是 一 个 素数 。 设 和 8 是 Z; 中 的 两 个 生成 元 ， 
离散 对 数 logs8 的 计算 是 困难 的 ,将 a 和 有 保密。 

散 列 函数 

hi XZ 2 
定义 为 
h(xzivz2) 一 amp modp 

下 面 的 定理 表示 只 要 离散 对 数 是 安全 的 , 则 这 个 散 列 函 数 是 安全 的 , 即 散 列 函数 是 强 无 
碰撞 的 。 

定理 7-1 如 果 能 找到 Chaum-van HeijstPfitzmann 散 列 函数 的 一 个 碰撞 , 则 离散 对 
数 logsB 可 有 效 计算 。 

签名 讨论 的 散 列 函数 具有 有 限 的 定义 域 , 显 然 不 能 完全 满足 需要 。 当 要 签名 文本 文件 
时 ,被 签名 消息 可 以 是 任意 长 度 的 。 所 以 ,需要 具有 无 限定 义 域 的 强 无 碰撞 散 列 函 数 。 将 具 
有 有 限定 义 域 的 强 无 碰撞 散 列 函数 扩展 为 具有 无 限定 义 域 的 强 无 碰撞 散 列 函数 通常 的 方法 
是 : 通过 级 联 的 方式 来 构造 无 限 长 度 输入 的 散 列 函数 ,以 及 Merkle(Merkle-Damgard) 级 联 
算法 ,或 者 是 基于 分 组 加 密 算法 的 散 列 函数 扩展 。 


7.6.3 单 向 散 列 函数 的 设计 


单 向 散 列 函数 通常 有 以 下 技术 要 求 : 

(1) 单 向 散 列 函数 能 够 处 理 任 意 长 度 的 明文 (至 少 是 在 实际 应 用 中 可 能 碰 到 的 长 度 的 
明文 ), 其 生成 的 消息 摘要 数据 块 长 度 具有 固定 的 大 小 。 而 且 , 对 同一 个 消息 反复 执行 该 函 
数 总 是 得 到 相同 的 信息 摘要 。 

(2) 单 向 散 列 函 数 生成 的 信息 摘要 是 不 可 预见 的 ,消息 摘要 看 起 来 和 原始 的 数据 没有 
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任何 关系 。 而 且 , 原 始 数据 的 任何 微小 变化 都 会 对 生成 的 信息 摘要 产生 很 大 的 影响 。 

(3) 具有 不 可 道 性 , 即 通 过 生成 的 报 文摘 要 得 到 原始 数据 的 任何 信息 在 计算 上 是 完全 
不 可 行 的 。 

(4) 由 散 列 值 寻找 等 价 明文 的 困难 性 。 给 定 M, 要 找到 另 一 消息 M' ,并 满足 万 CM) 一 
五 C(M') 是 计算 上 不 可 行 的 , 即 弱 碰 撞 。 

(5) 寻找 等 价 明文 对 的 困难 性 。 找 到 两 个 不 同 的 消息 M 和 M“ ,使 它们 的 散 列 值 相等 
即 HCMD)= 二 HOM') ,在 计算 上 不 可 行 的 , 即 强 碰撞 ( 强 碰 撞 比 弱 碰 撞 要 求 更 加 严格 , 它 可 以 
有 效 地 抵抗 所 谓 的 “生日 攻击 ”) 。 

给 定 输入 mm, 单 向 散 列 函数 首先 将 m 分 成 若干 个 分 组 (ma ,ms，… ,m4), 并 以 迭代 的 方 
式 , 从 第 1 个 分 组 开始 ,每 次 处 理 一 个 分 组 。 

在 处 理 第 i 个 分 组 时 ,将 分 组 i 与 处 理 分 组 i 一 1 时 得 到 的 散 列 值 作为 压缩 函数 /的 输 
入 , 即 

hi; = f(mishi) 

这 时 压缩 函数 的 输出 将 作为 直到 分 组 i 的 输入 的 散 列 值 。 最 后 ,在 处 理 最 后 一 个 分 组 
时 得 到 的 散 列 值 ,将 作为 整个 报 文 的 散 列 值 输出 。 

在 设计 时 要 求 单 向 散 列 函数 有 具有 强 的 码 间 相关 性 , 即 修改 明文 中 的 一 个 比特 ,就 会 使 输 
出 比特 串 中 大 约 一 半 的 比特 发 生变 化 。 这 样 ,最 后 得 到 的 散 列 值 将 与 明文 的 每 一 个 比特 密 
切 相关 。 

单 向 散 列 函数 的 原理 比较 简单 ,同时 由 于 它 并 不 要 求 可 道 , 因 此 ,设计 自由 度 一 般 比较 
大 ,基本 的 设计 方法 有 三 种 。 


1. 使 用 公开 密 钥 密码 算法 


通常 可 以 以 CBC 模式 使 用 公开 密 钥 算法 对 消息 进行 加 密 ,并 输出 最 后 一 个 密 文 分 组 作 
为 散 列 值 。 

如 果 丢弃 用 户 的 保密 密 钥 ,这 时 的 散 列 值 将 无 法 解密 ,也 就 是 说 , 它 满足 了 散 列 函数 的 
单 向 性 要 求 。 

虽然 在 合理 的 假设 下 ,可 以 证 明 这 类 散 列 函数 是 安全 的 ,但 一 般 情况 下 它 的 计算 速度 十 
分 慢 ( 这 是 由 公开 密 钥 算 法 的 速度 决定 的 )。 这 一 类 散 列 函数 并 不 实用 。 


2. 使 用 对 称 分 组 算法 


使 用 对 称 分 组 密码 算法 的 CBC 模式 或 CFB 模式 来 产生 散 列 值 。 它 将 使 用 一 个 固定 的 
密 钥 加 密 消息 ,并 将 最 后 的 密 文 分 组 作为 散 列 值 输出 。 这 时 ,如 果 分 组 算法 是 安全 的 ,那么 
单 向 函数 也 将 是 安全 的 。 
另外 ,还 可 以 把 消息 作为 密 钥 .而 把 上 一 个 分 组 得 到 的 散 列 值 作为 分 组 算法 的 输入 ,使 
用 类 似 于 CBC 模式 的 方法 进行 加 密 , 最 后 得 到 的 密 文 分 组 作为 散 列 值 输出 。 假 设 消息 共有 
NN 个 分 组 mi ,ms，… mn， 用 h; 表示 到 第 i 个 分 组 时 的 散 列 值 .h 表示 最 后 的 散 列 输出 。 那 
么 ,可 以 表述 如 下 : 
ho = 1V 
hi = En, (hi) 


h=hy 
其 中 ,IV 是 初始 向 量 。 
这 类 设计 已 经 提出 一 些 方案 ,如 Quisquater-Girault 算法 .MDC-2 和 MDC-4、GOST 散 
列 函 数 等 。 


3. 直接 设计 单 向 散 列 函数 


这 类 单 向 散 列 函数 并 不 基于 任何 假设 和 密码 体制 , 它 通 过 直接 构造 复杂 的 非 线性 关系 
达到 单 向 性 要 求 。 

这 类 算法 典型 的 有 MD2、MD4、MD5、SHA-1、PIPE-MD 和 HAVAL 等 算法 。 

目前 ,直接 设计 单 向 散 列 函数 的 方法 受到 了 广泛 关注 ,是 比较 流行 的 一 种 设计 方法 


7.6.4 单 向 散 列 函数 的 安全 性 


对 单 向 散 列 函 数 的 攻击 是 指 攻击 者 寻找 一 对 产生 碰撞 消息 的 过 程 。 评 价 单 向 散 列 函 数 
最 好 的 方法 就 是 看 一 个 攻击 者 找到 一 对 碰撞 消息 所 花 的 代价 有 多 高 。 通 常 在 讨论 单 向 散 列 
函数 的 安全 时 ,都 假设 敌手 已 经 知道 单 向 散 列 函数 算法 (遵循 Kerckhoffs 假设 ) 。 

对 单 向 散 列 函 数 的 攻击 方法 可 以 分 为 两 类 : 

第 一 类 是 强力 攻击 , 它 可 以 用 于 对 任何 类 型 的 单 向 散 列 函 数 进行 攻击 ,其 中 典型 的 方法 
称 为 “生日 攻击 ”。 

生日 攻击 方法 没有 利用 HASH 函数 的 结构 和 任何 代数 弱 性 质 , 它 只 依赖 于 消息 摘要 的 
长 度 , 即 HASH 值 的 长 度 。 这 种 攻击 对 HASH 函数 提出 了 一 个 必要 的 安全 条 件 , 即 消息 摘 
要 必须 足够 长 。 生 日 攻击 这 个 术语 来 自 于 所 谓 的 生日 问题 ,在 一 个 教室 中 最 少 应 有 多 少 学 
生 才 使 得 至 少 有 两 个 学 生 的 生日 在 同一 天 的 概率 不 小 于 1/2? 这 个 问题 的 答案 为 23。 

采用 生日 攻击 的 攻击 者 将 产生 许多 的 报 文 ,计算 其 报 文摘 要 ,并 进行 比较 。 当 报 文 足够 
多 时 ,根据 概率 论 的 有 关 结论 , 报 文 将 以 某 种 较 大 的 概率 发 生 碰 撞 , 这 时 可 以 认为 散 列 函数 
已 经 被 攻破 。 这 种 攻击 可 行 性 的 关键 在 于 究竟 需要 多 少 报 文才 能 使 发 生 碰 撞 的 概率 足够 
大 。 如 果 报 文 数目 大 到 是 计算 上 不 可 行 的 ,那么 生日 攻击 就 是 不 可 行 的 ,否则 ,可 以 认为 该 
单 向 散 列 函数 是 不 安全 的 。 

生日 攻击 所 需 报 文 数目 与 摘要 值 的 长 度 有 关 。 摘 要 值 越 长 ,需要 的 报 文 数目 越 大 。 有 


计算 表明 , 当 摘 要 长 度 为 n 时 ,需要 2 名 个 报 文 就 可 以 以 50% 的 概率 产生 一 个 碰撞 。 


强 碰 撞 自由 性 质 指出 计算 发 生 碰撞 的 报 文 是 计算 上 不 可 行 的 。 因 此 ,生日 攻击 对 具有 
强 碰 撞 自 由 性 质 的 单 向 散 列 函数 无 法 奏效 。 

第 二 类 攻击 方法 依赖 于 单 向 散 列 函数 的 结构 和 代数 性 质 , 它 采用 针对 单 向 散 列 函数 弱 
性 质 的 方法 进行 攻击 。 这 一 类 攻击 方法 有 中 间 相 遇 攻 击 、 修 正 分 组 攻击 和 差分 分 析 等 。 另 
外 ,使 用 了 其 他 密码 算法 构造 的 单 向 散 列 函数 还 可 以 因为 所 使 用 的 密码 算法 的 弱点 而 引起 
攻击 。 例 如 ,DES 的 一 些 众所周知 的 弱点 ,如 互补 性 、 弱 密 钥 与 半 弱 密 钥 等 ,都 可 用 来 攻击 
基于 DES 构造 的 单 向 散 列 函数 。 
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(3 MD5 


MD5(Message Digest Algorithm) ,中 文 名 为 消息 摘要 算法 第 五 版 ,为 计算 机 安全 领域 
广泛 使 用 的 一 种 散 列 函 数 , 用 以 提供 消息 的 完整 性 保护 。 

Rivest 在 1989 年 开发 出 MD2 算法 。 在 这 个 算法 中 ,首先 对 信息 进行 数据 补 位 ,使 信息 
的 字 节 长 度 是 16 的 倍数 。 然 后 ,以 一 个 16 位 的 检验 和 追加 到 信息 末尾 ,并 且 根 据 这 个 新 产 
生 的 信息 计算 出 散 列 值 。 后 来 , Rogier 和 Chauvaud 发 现 如 果 忽 略 了 检验 将 和 MD2 产生 
冲突 。 

为 了 加 强 算法 的 安全 性 ,Rivest 在 1990 年 又 开发 出 MD4 算法 。MD4 算法 同样 需要 填 
补 信息 以 确保 信息 的 比特 位 长 度 加 上 448 后 能 被 512 整除 (信息 比特 位 长 度 mod 512= 
448)。 然 后 ,一 个 以 64 位 二 进 制 表示 的 信息 的 最 初 长 度 被 添加 进来 。Den boer 和 
Bosselaers 以 及 其 他 人 很 快 发 现 了 攻击 MD4 版 本 中 第 一 步 和 第 三 步 的 漏洞 。 毫 无 疑问 ， 
MD4 就 此 被 淘汰 了 。 尽 管 MD4 算法 在 安全 上 有 个 这 么 大 的 漏洞 ,但 它 对 在 其 后 才 被 开发 
出 来 的 好 几 种 信息 安全 加 密 算法 的 出 现 却 有 着 不 可 忽视 的 引导 作用 。 

一 年 以 后 , 即 1991 年 ,Rivest 开发 出 技术 上 更 趋 近 成 熟 的 MD5 算法 。 它 在 MD4 的 基 
础 上 增加 了 “安全 -带子 ”(safety-belts) 的 概念 。 虽 然 MD5 比 MD4 稍微 慢 一 些 ,但 却 更 为 安 
全 。 这 个 算法 很 明显 地 由 4 个 和 MD4 设计 有 少许 不 同 的 步骤 组 成 。 在 MD5 算法 中 ,信息 - 
摘要 的 大 小 和 填充 的 必要 条 件 与 MD4 完全 相同 。 

MD5 的 作用 是 让 大 容量 信息 在 用 数字 签名 软件 签署 私人 密 钥 前 被 “压缩 ?成 一 种 保密 
的 格式 (就 是 把 一 个 任意 长 度 的 字 节 串 变换 成 一 定 长 的 大 整数 ) 。 不 管 是 MD2、MD4 还 是 
MD5 ,它们 都 需要 获得 一 个 随机 长 度 的 信息 并 产生 一 个 128 位 的 信息 摘要 。MD5 最 广泛 地 
被 用 于 各 种 软件 的 密码 认证 和 钥匙 识别 上 。 通 俗 地 说 就 是 人 们 所 说 的 序列 号 。 

MD5 接受 任意 长 度 的 消息 作为 输入 ,并 生成 128 位 消息 摘要 作为 输出 。 对 于 给 定 的 长 
度 为 工 位 的 消息 ,建立 算法 需要 三 个 步骤 。 

(1) 通过 在 消息 末尾 添加 一 些 额 外 位 来 填充 消息 。 填 充 是 绝 大 多 数 散 列 函数 的 通用 特 
性 ,正确 地 填充 能 够 提高 算法 的 安全 性 。 对 于 MD5 来 说 ,对 消息 进行 填充 ,使 其 位 长 度 等 
于 448 mod 512( 这 是 小 于 512 位 一 个 整数 倍 的 64 位 )。 即 使 原始 消息 达到 了 所 要 求 的 长 
度 ,也 要 添加 填充 。 填 充 由 一 个 1 和 足够 个 数 的 0 组 成 ,以 便 达 到 所 要 求 的 长 度 。 例 如 ,如 
果 消 息 由 704 位 组 成 ,那么 在 其 末尾 要 添加 256 位 (1 后 面 跟 255 个 0) ,以 便 将 消息 扩展 到 
960 位 (960 mod 512 一 448) 。 

(2) 消息 的 原始 长 度 缩减 为 mod 64, 然 后 以 一 个 64 位 的 数字 添加 到 扩展 后 消息 的 尾 
部 。 在 这 个 示例 中 ,原始 消息 的 长 度 为 704 位 ,其 二 进 制 值 为 1011000000。 将 这 个 数 书写 
为 64 位 数字 (在 开始 位 置 添加 54 个 0) ,并 把 它 添加 到 消息 末尾 。 其 结果 是 一 个 具有 1024 
位 的 消息 。 

(3) MD5 的 初始 输出 放 在 4 个 32 位 寄存 器 A、B、C 和 D 中 ,这 些 寄存 器 随后 将 用 于 保 
存 散 列 函 数 的 中 间 结 果 和 最 终结 果 。 初 始 值 为 (十 六 进 制 ) 

A=67452301; B=EFCDAB89; C=98BADCFE; D=10325476 
一 旦 完成 了 这 些 步骤 ,MD5 将 以 四 轮 方式 处 理 每 一 个 512 位 块 。 每 一 轮 都 由 16 个 阶 
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段 组 成 ,都 实现 针对 该 轮 的 功能 ,对 消息 块 部 分 做 32 位 加 法 ,对 数组 中 的 内 置 值 做 32 位 加 
法 , 移 位 运算 ,最 后 做 一 次 加 法 和 交换 运算 。 从 而 真正 地 打 乱 了 所 有 位 。 

以 一 个 例子 来 解析 MD5 的 具体 加 密 过 程 : 

如 对 一 个 字符 串 string 进行 加 密 。 第 一 步 ,要 把 它 转 换 成 位 (MD5 是 对 位 进行 操作 
的 ) ,现在 假设 string 转换 为 位 后 是 1010000101110101。 第 二 步 就 要 将 这 个 字 节 串 补 位 成 
比 512 的 倍数 (2 倍 ) 位 少 64 位 , 补 位 的 规则 就 是 在 原来 位 后 先 补 一 个 1, 其 他 的 补 0, 补 位 
后 这 个 串 变 成 10100000101110101 1( 先 补 的 那个 1)0000. . .000( 总 共 (512 一 64) 位 )。 完 成 
这 些 后 还 要 在 其 后 面 补 上 一 个 64 位 的 数据 ,当然 这 个 数据 也 是 有 规定 的 ,这 个 数据 就 是 原 
字 节 串 的 长 度 ( 当 然 这 个 长 度 已 被 转换 成 了 64 位 )。 至 此 ,数据 补 完 后 这 串 正 好 是 512 的 倍 
数 : 512N 一 64 十 64。 

至 此 ,前 两 步 补 位 和 补 数据 长 度 完成 了 ,在 一 些 初始 化 处 理 后 ,MD5 以 512 位 分 组 来 处 
理 输入 文本 ,每 一 分 组 又 划分 为 16 个 32 位 子 分 组 。 算 法 的 输出 由 4 个 32 位 分 组 组 成 ,将 
它们 级 联 形成 一 个 128 位 散 列 值 。 首 先 填充 消息 ,使 其 长 度 恰好 为 一 个 比 512 位 的 倍数 仅 
小 64 位 的 数 。 填 充 方 法 是 附 一 个 1 在 消息 后 面 ,后 接 所 要 求 的 多 个 0, 然 后 在 其 后 附 上 64 
位 的 消息 长 度 (填充 前 )。 这 两 步 的 作用 是 使 消息 长 度 恰好 是 512 位 的 整数 倍 (算法 的 其 余 
部 分 要 求 如 此 ), 同 时 确保 不 同 的 消息 在 填充 后 不 相同 。 

4 个 32 位 变量 初始 化 为 

A=0x01234567 

B=0x89abcdef 

C=0xfedcba98 

D=0x76543210 
它们 称 为 链接 变量 (Chaining Variable) ,接着 进行 算法 的 主 循环 ,循环 的 次 数 是 消息 中 512 
位 消息 分 组 的 数目 。 

将 上 面 4 个 变量 复制 到 另外 的 变量 中 : A 到 a,B 到 5b,C 到 c,D 到 4d。 

主 循环 有 4 轮 (MD4 只 有 3 轮 ) ,每 轮 很 相似 。 第 一 轮 进行 16 次 操作 。 每 次 操作 对 a、 
bc 和 d 中 的 其 中 三 个 做 一 次 非 线性 函数 运算 ,然后 将 所 得 结果 加 上 第 四 个 变量 ,文本 的 一 
个 子 分 组 和 一 个 常数 。 再 将 所 得 结果 向 右 循 环 移 一 个 不 定 的 数 ,并 加 上 a、b\c 或 4 中 之 一 。 

最 后 用 该 结果 取代 a ,bc 或 4 中 之 一 。 以 下 是 每 次 操作 中 用 到 的 4 个 非 线 性 函数 (每 
町 一 大) 

F(X,Y,2)=(X& DI((~X) 82) 

G(X,Y,2)=(X82)|(Y& (~2)) 

H(X,Y,Z)=X "YZ 

MX YZ)=Y "(XI 2)) 

(& 是 与 ,| 是 或 ,一 是 非 ,^ 是 异 或 ) 

这 些 函 数 是 这 样 设计 的 : 如 果 XY 和 2 的 对 应 位 是 独立 和 均匀 的 ,那么 结果 的 每 一 位 
也 应 是 独立 和 均匀 的 。 

函数 下 是 按 逐 位 方式 操作 的 : 如 果 关 ,那么 Y, 否 则 Z。 函 数 玉 是 逐 位 奇偶 操作 符 。 设 
Mi 表示 消息 的 第 j 个 子 分 组 (从 0 到 15) ,二 二 一 s 表示 循环 左 移 : 位 , 则 4 种 操作 为 

FF(a,b,cyd,Mj,s,ti) 表 示 a==6 十 (a 十 (F(b,c,d) 十 Mj 十 ti) 过 < 过 s) 
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GG(a,b,c,d,Mj,s,t 让 表示 a 二 6 十 (a 十 (G(b,c,d) 十 Mj 二 ti) 二 <<s) 
HH(a,b,c,d,Mj,s,ti) 表 示 a=b 十 (a 十 (H(b,c,d) 二 Mij 二 12) 二 二 <=s) 
IT(a,b,c,d,Mj,s,ti) 表 示 a 二 b 十 (a 十 (1(b,c,d) 十 Mj 二 10) 达 <<s) 
这 四 轮 (64 步 ) 如 下 。 

第 一 轮 : 
FF(a,b,c,d,MO,7,0xd76aa478) 
FF(d,a,b,c,M]1,12,0xe8c7b756) 
FF(c,d,a,b, M2,17,0x242070db) 
FF(b,c,d,a,M3,22,0xclbdceee) 
FF(a,b,c,d,M4,7,0x{57cOfaf) 
FF(d,a,b,c,M5,12,0x4787c62a) 
FF(c,d,a,b,M6,17,0xa8304613) 
FF(b,c,d,a,M?7,22,0xfd469501) 
FF(a,b,c,d,M8,7,0x698098d8) 
FF(d,a,b,c, M9,12,0x8b44f7af) 
FF(c,d,a,b, M10,17,0xffff5bb1) 
FF(b,c,d,a,M]11,22,0x895cd7be) 
FF(a,b,c,d,M]12,7,0x6b901122) 
FF(d,a,b,c, M13,12,0x{d987193) 
FF(c,d,a,b, M14,17,0xa679438e) 
FF(b,c,d,a, M15,22,0x49b40821) 
第 二 轮 : 
GG(a,b,c,d,M]1,5.0xf61e2562) 
GG(d,a,b,c, M6,9,0xc040b340) 
GG(c,d,a,b, M11,14,0x265e5a51) 
GG(b,c,d,a, M0,20,0xe9b6c7aa) 
GG(a,b,c,d,M5,5,0xd62f105d) 
GG(d,a,b,c, M10,9,0x02441453) 
GG(c,d,a,b,M15,14,0xd8ale681) 
GG(b,c,d,a,M4,20,0xe7d3fbc8) 
GG(a,b,c,d,M9,5,0x2lelcde6) 
GG(d,a,b,c, M14,9,0xc33707d6) 
GG(c.d,a,b, M3,14,0x{4d50d87) 
GG(b,c,d,a,M8,20,0x455al4ed) 
GG(a,b,c,d,M13,5,0xa9e3e905) 
GG(d,a,b,c,M2,9,0xfcefa3{8) 
GG(c,d,a,b, M7.,14,0x676f02d9) 
GG(b,c,d,a, M12,20,0x8d2a4c8a) 
第 三 轮 : 


HH(a,b,c,d,M5,4,.0xfffa3942) 
HH(d,a,b,c,M8,11,0x8771f681) 
HH(c,d,a,b, M11,16,0x6d9d6122) 
HH(b,c,d,a, M14,23,0xfde5380c) 
HH(a.b,c,d,M]1,4,0xa4dbeea44) 
HH(d,a,b,c, M4,11,0x4bdecfa9) 
HH(c,d,a,b, M7,16,0x{6bb4b60) 
HH(b,c,d,a, M10,23,0xbebfbc70) 
HH(a,b,c,d,M]13,4,0x289b7ec6) 
HH(d,a,b,c, M0,11,0xeaal27fa) 
HH(c,d,a,b,M3,16,0xd4ef3085) 
HH(b ,c,d,a,M6,23,0x04881d05) 
HH(a,b,c,d,M9,4,0xd9d4d039) 
HH(d,a,b,c, M12,11,0xe6db99e5) 
HH(c,d,a,b, M15,16,0xlfa27cf8) 
HH(b,c,d,a,M2,23,0xc4ac5665) 
第 四 轮 : 
I(a,b,c,d,MO,6,0xf4292244) 
I(d,a,b,c,M?7,10,0x432aff97) 
IICc,d,a,p,M14,15,0xab9423a7) 
II(CO,c,d,a,M5,21,0xfc93a039) 
l(a,b,c,d,M12,6,0x655b59c3) 
I(d,a,b,c,M3,10,0x8f0ccc92) 
l(c,d,a,b, M10,15,0xffeff47d) 
IICO,c,d,a,M1,.21,0x85845ddl) 
IICa,o,c,d,M8,.6,.0x6fa87e4f) 
II(d,a,o,c,M15,10,0xfe2ce6e0) 
JICc,d,a,p,M6,.15,0xa3014314) 
JICO,c,d,a,M13.21,0x4e0811al) 
I(a,b,c,d,M4,6,0xf7537e82) 
I(d,a,b,c,M11,10,0xbd3af235) 
l(c,d,a,b,M2,15,0x2ad7d2bb) 
I(b,c,d,a,M9,21,0xeb86d391) 
常数 4i 可 以 选择 如 下 : 


在 第 i 步 中 ,ti 是 4294 967 296Xabs(sin(i)) 的 整数 部 分 ,i 的 单位 是 弧度 。 
所 有 这 些 完成 之 后 ,将 A、B、C、D 分 别 加 上 a bc.d。 然 后 用 下 一 分 组 数据 继续 运行 算 


法 ,最 后 的 输出 是 A、B、C 和 的 级 联 。 
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习题 


. 数字 签名 应 该 具有 哪些 性 质 ? 
. 数字 签名 应 满足 哪些 要 求 ? 
. 直接 数字 签名 和 仲裁 数字 签名 的 区 别 是 什么 ? 
. 如 果 用 于 产生 DSA 签名 的 人 已 被 泄密 ,会 出 现 什么 问题 ? 
. DSS 包括 一 个 推荐 的 素数 测试 算法 ,该 算法 如 下 。 
(1) 选择 w: 令 ww 是 随机 的 奇数 , 则 (w 一 1) 是 偶数 且 可 表示 为 22m ,其 中 mm 是 奇数 ,也 
就 是 说 ,2* 是 整除 (w 一 1) 的 2 的 最 大 短 。 
(2) 产生 0: 令 0 是 随机 整数 ,1 一 "一 zw。 
(3) 求 寡 : 置 )=0, 且 z=b" mod w。 
(4) 若 j 二 0,x 二 1 或 者 x 二 w 一 1, 则 w 可 能 是 素数 , 故 应 测试 w, 转 到 步 又 (8)。 
(5) 若 ) 全 0,z=1, 则 zw 不 是 素数 ,对 该 w 算法 终止 。 
(6) 置 j==j 十 1, 若 ja, 则 置 z==x? mod ww, 并 转 到 步骤 (4) 。 
(7) w 不 是 素数 ,对 该 ww 算法 终止 。 
(8) 若 已 测试 足够 多 的 5, 则 认为 该 ww 是 素数 并 终止 算法 ,否则 转 到 步骤 (2) 。 
请 说 明 该 算法 的 工作 原理 。 


an 证 


密 钥 管理 | 


密 钥 管理 是 数据 加 密 技 术 中 的 重要 一 环 , 密 钥 管理 的 目的 是 确保 密 钥 的 安全 性 (真实 性 
和 有 效 性 ) 。 


@.1 密 钥 管理 技术 的 发 展 


第 一 代 密 钥 管理 产品 是 存储 卡 芯 片 钥匙 。 存 储 卡 芯 片 钥匙 是 将 存储 卡 芯片 做 成 一 个 计 
算 机 外 设 ,直接 插 在 USB 口上 , 密 钥 则 写 在 存储 卡 芯 片上 。 当 存储 卡 芯片 插 在 USB 口上 
时 ,加密 的 文件 可 自动 解密 。 当 智能 卡 拔 出 时 ,文件 便 自 动 加 密 , 而 存储 卡 芯片 内 的 密 钥 一 
般 是 不 会 被 从 计算 机 内 读 出 来 的 ,从 而 避免 了 密 钥 轻易 被 别人 获取 的 可 能 。 

社会 的 进步 使 得 社会 竞争 进一步 加 剧 , 同 时 也 产生 了 更 多 的 商业 机 密 。 如 何 使 自己 的 
天 机 不 被 泄露 ,是 每 一 个 人 都 很 关心 的 事 。 虽 然 第 一 代 存储 卡 芯片 钥匙 能 够 解决 部 分 问题 ， 
但 仍然 有 其 自身 的 缺陷 ,如 使 用 读 卡 器 即 可 读 取 智 能 卡 内 的 文件 。 这 个 缺陷 是 致命 的 ,也 就 
是 说 别人 可 以 轻松 地 配 一 把 同样 的 钥匙 ,去 打开 计算 机 中 加 密 的 文件 。 

在 此 基础 上 ,第 二 代 密 钥 管理 产品 是 安全 钥匙 。 之 所 以 称 之 为 安全 钥匙 ,主要 是 缘 于 其 
采用 的 是 一 款 安全 芯片 。 安 全 芯片 ,是 指 任何 人 采用 任何 暴力 都 无 法 读 取 安 全 芯片 中 的 任 
何 内 容 。 这 就 是 说 ,开启 数据 的 钥 是 是 唯一 的 ,这 确保 了 计算 机 中 加 密 保存 的 文件 不 会 被 其 
他 任何 人 读 取 。 这 就 好 像 ,用 户 在 计算 机 中 创建 一 个 保险 箱 ,而 钥匙 永远 只 在 自己 手中 。 当 
把 钥匙 插 在 USB 口上 时 ,保险 箱 自 动 打开 ,可 以 把 重要 文件 或 应 用 程序 放 在 里 面 ,与 计算 机 
存盘 一 样 轻松 。 钥 匙 拔 出 时 ,保险 箱 随 之 关闭 ,同时 对 文件 加 密 。 更 进一步 ,除了 加 密 外 , 它 
还 将 保险 箱 进行 隐藏 , 当 他 人 打开 计算 机 时 根本 看 不 见 在 计算 机 中 创建 的 保险 箱 。 同 时 ,由 
于 对 钥匙 做 了 口令 识别 ,从 而 确保 钥匙 的 安全 性 。 第 二 代 安 全 钥匙 的 诞生 ,标志 着 安全 加 密 
的 一 个 新 时 代 的 开始 。 

一 个 好 的 密 钥 管理 系统 应 该 做 到 : 

(1) 密 钥 难以 被 窃取 ; 

(2) 在 一 定 条 件 下 窃取 了 密 钥 也 没有 用 , 密 铀 有 使 用 范围 和 时 间 的 限制 ; 

(3) 密 钥 的 分 配 和 更 换 过 程 对 用 户 透明 ,用户 不 一 定 要 亲自 掌管 密 钥 。 
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@.2 密 钥 管理 


8.2.1 密 钥 管理 的 内 容 


密 钥 的 管理 是 整个 加 密 系 统 中 最 薄弱 的 环节 , 密 钥 的 泄漏 将 直接 导致 明文 内 容 的 泄漏 。 
例如 曾经 有 一 种 计算 机 使 用 了 DES 算法 来 实现 一 个 文件 加 密 工 具 , 它 将 密 钥 与 密 文 保存 在 
一 起 ,用 户 可 以 选择 用 密 文 或 明文 形式 保存 文件 ,而 且 加 密 / 解 密 过 程 是 透明 的 ,使 用 很 方 
便 。 但 是 ,对 于 了 解密 文 格式 的 攻击 者 而 言 ,他 可 以 很 容易 地 发 现 密 文 的 密 钥 ,从 而 发 现 明 
文 。 显然 从 密 钥 管 理 的 途径 窃取 机 密 比 用 破译 的 方法 花费 的 代价 要 小 得 多 ,所 以 对 密 钥 的 
管理 和 保护 格外 重要 。 

密 钥 管理 包括 管理 方式 、 密 钥 生 成 、 密 钥 存储 和 保护 、 密 钥 分 配 、 传 递 和 密 钥 备份 .销毁 
等 。 所 有 管理 过 程 都 是 为 了 正确 地 解决 密 钥 从 生成 到 使 用 全 过 程 的 安全 性 和 实用 性 ,另外 
还 涉及 密 钥 的 行政 管理 制度 和 管理 人 员 的 素质 。 密 钥 管 理 最 主要 的 过 程 是 密 钥 生 成 ,保护 


1. 管理 方式 


层次 化 的 密 钥 管 理 方式 ,用 于 数据 加 密 的 工作 密 钥 需要 动态 产生 ; 工作 密 钥 由 上 层 的 
加 密 密 钥 进行 保护 ,最 上 层 的 密 钥 称 为 主 密 钥 ,是 整个 密 钥 管理 系统 的 核心 ; 多 层 密 钥 体 制 
大 大 加 强 了 密码 系统 的 可 靠 性 ,因为 用 得 最 多 的 工作 密 钥 常常 更 换 , 而 高 层 密 钥 用 得 较 少 ， 
使 得 破译 者 的 难度 增 大 。 

2. 密 钥 的 生成 

密 钥 的 生成 与 所 使 用 的 算法 有 关 。 如 果 生 成 的 密 钥 强度 不 一 致 , 则 称 该 算法 构成 的 是 
非 线性 密 钥 空间 ,和 否则 称 为 线性 密 钥 空间 。 

3. 分 配 、 传 递 

密 钥 的 分 配 是 指 产 生 并 使 使 用 者 获得 一 个 密 钥 的 过 程 ; 密 钥 的 传递 分 集中 传送 和 分 散 
传送 两 类 。 集 中 传送 是 指 将 密 钥 整体 传送 ,这 时 需要 使 用 主 密 钥 来 保护 会 话 密 钥 的 传递 ,并 
通过 安全 渠道 传递 主 密 钥 。 分 散 传送 是 指 将 密 钥 分 解 成 多 个 部 分 ,用 秘密 分 享 的 方法 传递 ， 
只 要 有 部 分 到 达 就 可 以 恢复 ,这 种 方法 适用 于 在 不 安全 的 信道 中 传输 。 

4. 密 钥 的 保存 

密 钥 既 可 以 作为 一 个 整体 保存 ,也 可 以 分 散 保存 。 整 体 保存 的 方法 有 人 工 记 忆 、 外 部 记 


忆 装 署 、 密 钥 恢 复 、 系 统 内 部 保存 ; 分 散 保存 的 目的 是 尽量 降低 由 于 某 个 保管 人 或 保管 装置 
问题 而 导致 密 钥 的 泄漏 。 


5. 备份 .销毁 
密 钥 的 备份 可 以 采用 和 密 钥 的 分 散 保存 一 样 的 方式 ,以 免 知 道 密 钥 的 人 太 多 ; 密 钥 的 
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销毁 要 有 管理 和 仲裁 机 制 , 否 则 密 钥 会 被 有 意 无 意 地 丢失 ,从 而 造成 对 使 用 行为 的 否认 。 
8.2.2 密 钥 的 组 织 结构 


从 信息 安全 的 角度 看 , 密 钥 的 生存 期 越 短 ,破译 者 的 可 乘 之 机 就 越 小 。 所 以 ,理论 上 一 
次 一 密 最 安全 。 在 实际 应 用 中 ,尤其 是 在 网 络 环境 下 ,多 采用 层次 化 的 密 钥 管 理 结 构 。 用 于 
数据 加 密 的 工作 密 钥 平时 不 存储 于 加 密 设备 中 ,需要 时 动态 生成 ,并 由 其 上 层 的 密 钥 加 密 密 
钥 进 行 加 密 保护 。 密 钥 加 密 密 钥 可 根据 需要 由 其 上 一 级 的 加 密 密 钥 进行 保护 。 最 高 层 的 密 
钥 被 称 为 主 密 钥 , 它 是 整个 密 钥 管 理 体系 的 核心 。 在 多 层 密 钥 管 理 系统 中 ,通常 下 一 层 的 密 
钥 由 上 一 层 密 钥 按 照 某 种 密 钥 算 法 来 生成 。 因 此 ,掌握 了 主 密 钥 , 就 有 可 能 找 出 下 层 的 各 个 
密 钥 。 

工作 密 钥 通常 被 称 为 会 话 密 钥 ,建立 会 话 密 钥 的 目的 在 于 : 

(1) 重复 使 用 密 钥 容易 导致 泄漏 ,因此 应 经 常 更 换 ; 

(2) 若 使 用 相同 的 密 钥 ,攻击 者 可 将 以 前 截获 的 信息 插入 当前 的 会 话 中 而 不 被 发 现 ; 

(3) 密 钥 一 旦 被 破译 , 则 使 用 这 一 密 钥 加 密 的 信息 都 会 失 密 ,而 使 用 会 话 密 钥 的 会 话 信 
息 也 会 失 密 ; 

(4) 如 果 对 方 不 可 靠 , 则 更 换 会 话 密 钥 可 防止 对 方 以 后 窍 取信 息 。 

多 层 密 钥 管理 体制 大 大 增强 了 密码 系统 的 安全 性 。 由 于 用 得 最 多 的 工作 密 钥 经 常 更 
换 , 而 高 层 密 钥 则 用 得 较 少 ,使 得 破译 者 可 用 的 信息 变 得 很 少 ,增加 了 攻击 的 难度 。 

另外 ,多 层 密 钥 体 制 为 自动 化 管理 带 来 了 方便 ,因为 下 层 密 钥 可 巾 计算 机 系统 自动 产生 
和 维护 ,并 通过 网 络 自动 分 配 和 更 换 , 减 少 了 接触 密 钥 的 人 数 ,也 减轻 了 用 户 的 负担 。 例 如 ， 
在 古典 加 密 体制 中 有 这 样 一 种 密 钥 管 理 方法 : 

(1) 指定 一 个 公开 出 版 并 可 广泛 获得 的 出 版 物 作 为 密码 本 ,这 时 这 个 出 版 物 的 名 称 成 

(2) 将 这 个 出 版 物 的 某 个 页 号 已 . 行 号 工 及 字数 W 作为 第 二 级 密 钥 。 

(3) 将 PL、W 指定 的 内 容 作 为 具体 的 密 钥 , 即 第 三 级 密 钥 。 

这 样 在 使 用 时 , 主 密 钥 是 双方 预知 的 ,不 需要 交换 。 通 信 时 ,只 要 通知 PL、W 就 可 得 
知 加 密 的 密 钥 ,而 破译 者 由 于 不 知道 主 密 钥 ,所 以 即使 截获 了 密 文 和 PL、W ,也 无 法 破译 。 
如 果 指 定 的 是 一 个 连续 出 版 物 , 则 主 密 钥 定期 更 换 , 它 的 期 号 或 卷 号 成 为 新 的 一 级 密 钥 。 这 
种 超 数学 的 密码 结构 使 得 密 文 .明文 和 密 钥 之 间 不 存在 任何 确定 的 函数 关系 。 破 译 者 只 能 
使 用 穷 举 法 。 当 然 破译 者 可 通过 分 析 加 密 者 的 生活 习惯 来 缩小 搜索 范围 。 

密 钥 的 连通 是 指 在 用 户 之 间 共 享 密 钥 的 范围 ,而 密 钥 的 分 割 是 指 对 这 个 范围 的 限制 空 
间 分 割 密 钥 ,可 区 分 不 同 的 用 户 群 ,例如 : 

(1) 不 同 密级 的 数据 之 问 的 密 钥 分 割 ; 

(2) 不 同业 务 部 门 .业务 系统 之 间 的 密 钥 分 割 ; 

(3) 上 下 级 机 关 之 间 的 密 钥 分 割 ; 

(4) 应 用 系统 和 管理 系统 之 间 的 密 钥 分 割 等 。 

按时 间 分 割 密 钥 可 实现 让 各 个 用 户 在 不 同 的 时 期 使 用 不 同 的 密 钥 , 使 用 户 的 使 用 权 具 
有 时 间 限 制 。 分 割 的 实现 有 两 种 方式 。 

(1) 静态 分 割 : 在 给 用 户 的 加 密 设 备注 入 密 钥 时 就 给 定 了 用 户 的 密 钥 连通 范围 , 即 用 
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户 只 能 使 用 注入 的 密 钥 ; 
(2) 动态 分 割 : 密 钥 分 配 中 心 定期 向 规定 范围 内 的 用 户 加 密 传送 一 个 用 于 控制 分 割 范 
围 的 广播 密 钥 ( 向 指定 用 户 广播 的 密 钥 ) 。 
按照 密 钥 的 作用 与 类 型 及 它们 之 间 的 相互 控制 关系 ,可 以 将 不 同类 型 的 密 钥 划分 为 1 
级 密 钥 、2 级 密 钥 、… 光 级 密 钥 ,从 而 组 成 一 个 层 密 钥 系 统 , 如 图 8-1 所 示 。 
_。_ 密 钥 协议 1 


二 


le， 
| 
1 
ep | 
明文 M 明文 


图 8-1 层 密 钥 系统 


在 图 8-1 中 ,系统 使 用 一 级 密 钥 通过 算法 保护 二 级 密 钥 ( 一 级 密 钥 使 用 物理 方法 或 其 他 
方法 进行 保护 ) ,使 用 二 级 密 钥 通过 算法 保护 三 级 密 钥 ,以 此 类 推 ,直到 最 后 使 用 级 密 钥 通过 
算法 保护 明文 数据 。 随 着 加 密 过 程 的 进行 ,各 层 密 钥 的 内 容 动态 变化 ,而 这 种 变化 的 规则 由 
相应 层次 的 密 钥 协议 控制 。 

最 下 层 的 密 钥 也 叫 工作 密 钥 ,或 数据 加 密 密 钥 , 它 直接 作用 于 对 明文 数据 的 加 解密 。 所 
有 上 层 密 钥 可 称 为 密 钥 加 密 密 钥 , 它 们 的 作用 是 保护 数据 加 密 密 钥 或 作为 其 他 更 低层 次 密 
钥 的 加 密 密 钥 。 最 上 面 一 层 的 密 钥 也 叫 主 密 钥 ,通常 主 密 钥 是 整个 密 钥 管 理 系统 的 核心 ,应 
该 采用 最 安全 的 方式 来 进行 保护 。 

层次 化 的 密 钥 结构 意味 着 以 密 钥 来 保护 密 钥 。 这 样 ,大 量 的 数据 可 以 通过 少量 动态 产 
生 的 数据 加 密 密 钥 ( 工 作 密 钥 ) 进 行 保护 ,而 数据 加 密 密 钥 又 可 以 由 更 少量 的 、 相 对 不 变 ( 使 
用 期 较 长 ) 的 密 钥 加 密 密 钥 来 保护 。 同 理 , 在 最 后 第 二 层 的 密 钥 加 密 密 钥 可 以 由 主 密 钥 进 行 
保护 ,从 而 保证 了 除了 主 密 钥 可 以 以 明文 的 形式 存储 在 有 严密 物理 保护 的 主机 密码 器 件 中 ， 
其 他 密 钥 则 以 加 密 后 的 密 文 形式 存储 ,这 样 , 就 改善 了 密 钥 的 安全 性 。 


8.2.3 密 钥 的 分 配 技术 


密 钥 分 配 技术 解决 的 是 网 络 环境 中 需要 进行 安全 通信 的 实体 间 建 立 共 享 的 密 钥 问 题 ， 
最 简单 的 解决 办 法 是 生成 密 钥 后 通过 安全 的 渠道 送 到 对 方 。 这 对 于 密 钥 量 不 大 的 通信 是 合 
适 的 ,但 随 着 网 络 通信 的 不 断 增加 , 密 钥 量 也 随 之 增加 , 则 密 钥 的 传递 与 分 配 会 成 为 严重 的 
负担 。 在 当前 的 实际 应 用 中 ,用 户 之 间 的 通信 并 没有 安全 的 通信 信道 ,因此 有 必要 对 密 钥 分 
配 做 进一步 的 研究 。 

密 钥 分 配 技术 一 般 需 要 解决 两 个 方面 的 问题 : 为 减轻 负担 ,提高 效率 ,引入 自动 密 钥 分 
配 机 制 ; 为 提高 安全 性 , 尽 可 能 减少 系统 中 驻 留 的 密 钥 量 。 

为 了 满足 这 两 个 问题 ,目前 有 两 种 类 型 的 密 钥 分 配方 案 : 集中 式 和 分 布 式 密 钥 分 配方 
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案 。 集 中 式 密 钥 分 配方 案 是 指 由 密 钥 分 配 中 心 (KDC) 或 者 由 一 组 节点 组 成 层次 结构 负责 
密 钥 的 产生 并 分 配给 通信 双方 。 分 布 式 密 钥 分 配方 案 是 指 网 络 通 信 中 各 个 通信 方 具有 相同 
的 地 位 ,它们 之 间 的 密 钥 分 配 取决 于 它们 之 间 的 协商 ,不 受 任何 其 他 方 的 限制 (更 进一步 ,可 
以 把 密 钥 分 配 中 心 分 散 到 所 有 的 通信 方 , 即 每 个 通信 方 同时 也 是 密 钥 分 配 中 心 ) 。 

此 外 , 密 钥 分 配方 案 也 可 能 采取 上 面 两 种 方案 的 混合 : 上 层 ( 主 机 ) 采 用 分 布 式 密 钥 分 
配方 案 , 而 上 层 对 于 终端 或 它 所 属 的 通信 子 网 采用 集中 式 密 钥 分 配方 案 。 

通信 双方 在 使 用 对 称 密码 技术 进行 保密 通信 时 ,通信 双方 必须 有 一 个 共享 的 密 钥 ,并 且 


这 个 密 钥 还 要 防止 被 他 人 获得 。 此 外 , 密 钥 还 必须 时 常 更 新 。 从 这 点 上 看 , 密 钥 分 配 技术 直 
接 影 响 密 钥 分 配 系统 的 强度 。 


对 于 通信 双方 A 和 B, 密 钥 分 配 可 以 有 以 下 几 种 方法 : 

(1) 密 钥 由 A 选 定 , 然 后 通过 物理 方法 安全 地 传递 给 B; 

(2) 密 钥 由 可 信赖 的 第 三 方 C 选取 并 通过 物理 方法 安全 地 发 送 给 A 和 Bi; 

(3) 如 果 A 和 B 事 先 已 有 一 密 钥 , 那 么 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 
密 钥 发 送 给 另 一 方 ; 

(4) 如 果 A 和 B 都 有 一 个 到 可 信赖 的 第 三 方 C 的 保密 信道 ,那么 C 就 可 以 为 A 和 B 
选取 密 钥 后 安全 地 发 送 给 A 和 B; 

(5) 如 果 A 和 B 都 在 可 信赖 的 第 三 方 C 发 布 自己 的 公开 密 钥 , 那 么 他 们 用 彼此 的 公开 
密 钥 进行 保密 通信 。 

对 于 前 两 种 方法 不 适合 大 量 连接 的 现代 通信 (因为 需要 对 密 钥 进行 人 工 传送 ); 对 于 第 
(3) 种 方法 ,由 于 要 对 所 有 的 用 户 分 配 初始 密 钥 , 代 价 也 很 大 ,也 不 适合 于 现代 通信 ; 对 于 第 
(4) 种 方法 采用 密 钥 分 配 技术 ,可 信赖 的 第 三 方 C 就 是 密 钥 分 配 中 心 (KDC) ,常用 于 对 称 密 
码 技术 的 密 钥 分 配 ; 对 于 第 (5) 种 方法 采用 的 是 密 钥 认证 中 心 技术 ,可 信赖 的 第 三 方 C 就 是 
证 书 授权 中 心 (CA) ,常用 于 非 对 称 密码 技术 的 公 钥 分 配 。 


6.3 PKI 


8.3.1 PKI 综述 


PKI 是 Public Key Infrastructure 的 缩写 ,是 指 用 公 钥 概念 和 技术 来 实施 和 提供 安全 服 
务 的 具有 普 适 性 的 安全 基础 设施 。 这 个 定义 涵盖 的 内 容 比 较 宽 ,是 一 个 被 很 多 人 接受 的 概 
念 。 这 个 定义 说 明 , 任 何以 公 钥 技术 为 基础 的 安全 基础 设施 都 是 PKI。 当 然 , 没 有 好 的 非 对 
称 算法 和 好 的 密 钥 管理 就 不 可 能 提供 完善 的 安全 服务 ,也 就 不 能 叫做 PKI。 也 就 是 说 ,该 定 
义 中 已 经 隐 含 了 必须 具有 的 密 钥 管理 功能 。 

X. 509 标准 中 ,为 了 区 别 于 权限 管理 基础 设施 (PMD ,将 PKI 定义 为 支持 公开 密 钥 管 
理 并 能 支持 认证 ,加密 、 完 整 性 和 可 追究 性 服务 的 基础 设施 。 这 个 概念 与 第 一 个 概念 相 比 ， 
不 仅仅 叙述 PKI 能 提供 的 安全 服务 ,更 强调 PKI 必须 支持 公开 密 钥 的 管理 。 也 就 是 说 , 仅 
仅 使 用 公 钥 技术 还 不 能 叫做 PKI, 还 应 该 提供 公开 密 钥 的 管理 。 因 为 PMI 仅仅 使 用 公 钥 技 
术 但 并 不 管理 公开 密 钥 , 所 以 ,PMI 就 可 以 单独 进行 描述 而 不 至 于 跟 公 钥 证 书 等 概念 混淆。 
X. 509 中 从 概念 上 分 清 PKI 和 PMI 有 利于 标准 的 叙述 。 然 而 ,由 于 PMI 使 用 了 公 钥 技术 ， 
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PMI 的 使 用 和 建立 必须 先 有 PKI 的 密 钥 管 理 支 持 。 也 就 是 说 ,PMI 不 得 不 把 自己 与 PKI 
绑 定 在 一 起 。 当 把 两 者 合 二 为 一 时 ,PMI 十 PKI 就 完全 落 在 X. 509 标准 定义 的 PKI 范畴 
内 。 根 据 X. 509 的 定义 ,PMI 十 PKI 仍旧 可 以 叫做 PKI, 而 PMI 完全 可 以 看 成 PKI 的 一 个 
部 分 。 

美国 国家 审计 总 署 在 2001 年 和 2003 年 的 报告 中 都 把 PKI 定义 为 由 硬件 、 软 件 、 策 略 
和 人 构成 的 系统 , 当 完善 实施 后 ,能 够 为 敏感 通信 和 交易 提供 一 套 信息 安 全 保障 ,包括 保密 
性 、 完 整 性 真实 性 和 不 可 和 否认。 尽管 这 个 定义 没有 提 到 公开 密 钥 技术 ,但 到 目前 为 止 , 满 足 
上 述 条 件 的 也 只 有 公 钥 技术 构成 的 基础 设施 ,也 就 是 说 ,只 有 第 一 个 定义 符合 这 个 PKI 的 
定义 。 所 以 这 个 定义 与 第 一 个 定义 并 不 矛盾 。 

综 上 所 述 ,可 以 认为 : PKI 是 用 公 钥 概念 和 技术 实施 的 ,支持 公开 密 钥 的 管理 并 提供 真 
实 性 ,保密 性 、 完 整 性 以 及 可 追究 性 安全 服务 的 具有 普 适 性 的 安全 基础 设施 。 


8.3.2 PKI 的 基本 组 成 


完整 的 PKI 系统 必须 具有 权威 认证 机 构 (CA) 数字 证 书库 、 密 钥 备份 及 恢复 系统 、 证 
书 作废 系统 、 应 用 接口 (APD) 等 基本 构成 部 分 ,构建 PKI 也 将 围绕 这 五 大 系统 来 着 手 构建 。 

PKI 技术 是 信息 安全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。PKI 的 基础 技术 
包括 加 密 、 数 字 签名 、 数 据 完整 性 机 制 ,数字 信封 .双重 数字 签名 等 。 一 个 典型 ,完整 有 效 的 
PKI 应 用 系统 至 少 应 具有 以 下 部 分 : 

(1) 公 钥 密码 证 书 管理 。 

(2) 黑 名 单 的 发 布 和 管理 。 

(3) 密 钥 的 备份 和 恢复 。 

(4) 自动 更 新 密 钥 。 

(5) 自动 管理 历史 密 钥 。 

(6) 支持 交叉 认证 。 

认证 机 构 (CA): 即 数字 证 书 的 申请 及 签发 机 关 ,CA 必须 具备 权威 性 的 特征 。 

数字 证 书库 : 用 于 存储 已 签发 的 数字 证 书 及 公 钥 ,用 户 可 由 此 获得 所 需 的 其 他 用 户 的 
证 书 及 公 钥 。 

密 钥 备份 及 恢复 系统 : 如 果 用 户 丢失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 被 解密 ,这 
将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 但 须 注意 , 密 钥 
的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 。 并 且 , 密 钥 备 份 与 恢复 只 能 针对 解密 密 钥 , 签 名 私 
钥 为 确保 其 唯一 性 而 不 能 够 作 备 份 。 

证 书 作废 系统 : 证 书 作废 处 理 系统 是 PKI 的 一 个 必 备 组 件 。 与 日 常生 活 中 的 各 种 身份 
证 件 一 样 ,证书 有 效 期 以 内 也 可 能 需要 作废 ,原因 可 能 是 密 钥 介质 丢失 或 用 户 身份 变更 等 。 
为 实现 这 一 点 ,PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 

应 用 接口 (APD : PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服务 ， 
因此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 、 一 
致 .可 信 的 方式 与 PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 

通常 来 说 ,CA 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。 众 所 周知 ,构建 密码 服务 系统 的 
核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体制 涉及 一 对 密 钥 ( 即 私 钥 和 公 钥 ), 私 钥 只 由 用 户 独 
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立 掌握 ,无 须 在 网 上 传输 ,而 公 钥 则 是 公开 的 ,需要 在 网 上 传送 , 故 公 钥 体 制 的 密 钥 管理 主要 
是 针对 公 钥 的 管理 问题 ,目前 较 好 的 解决 方案 是 数字 证 书 机 制 。 

由 于 PKI 作为 国家 信息 安全 基础 设施 的 重要 战略 地 位 及 核心 技术 (密码 技术 ) 的 特殊 
敏感 性 ,中 国 PKI 体系 的 发 展 与 建立 既 不 能 简单 地 照搬 国外 的 技术 与 构架 ,但 是 也 不 能 盲 
目地 完全 走 自 由 市 场 的 道路 。 中 国 国家 PKI 体系 应 在 国家 控制 和 主导 下 ,制定 统一 的 发 展 
战略 规划 和 管理 模式 ,由 国家 负责 统一 协调 ,管理 和 监控 ,打破 一 些 行业 内 部 的 变相 垄断 ,加 
强 相 关 行 业 之 间 的 合作 ,避免 重复 建设 ,促进 平等 竞争 ,建设 一 个 有 利于 国家 网 络 经 济 的 体 
系 ,进而 推动 国民 经 济 和 社会 信息 化 的 发 展 。 本 着 这 样 的 原则 ,构建 国家 PKI 体系 的 总 体 
目标 是 : 建设 具有 科学 性 、 权 威 性 、 安 全 性 和 互通 性 的 完整 PKI 体系 ,为 国家 信息 化 建设 保 
驾 护 航 。 因 此 ,为 实现 这 样 的 目标 ,国家 级 PKI 安全 认证 体系 主要 应 由 组 织 体系 、 管 理 体 
系 、 技 术 体 系 、 标 准 体系 和 法 律 体系 组 成 。 结 合 已 有 的 PKI 认证 体系 ,国家 级 PKI 安全 认证 
体系 结构 如 图 8-2 所 示 。 
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图 8-2 国家 级 PKI 安全 认证 体系 结构 


1. 国家 PKI 协调 管理 委员 会 


作为 组 织 .管理 机 构 ,主要 负责 协调 、 制 定 PKI 相关 政策 ,监督 和 管理 政策 的 实施 ,PKI 
体系 的 标准 化 工作 ; 批准 政府 根 CA 证 书 机 构 和 公众 服务 证 书 机 构 (SCA) 的 设立 和 证 书 策 
上 略 (Certification Policies,CP) 与 认证 操作 规范 (Certification Practice Statement,CPS) ,保证 
其 法 律 效力 ; 负责 安全 策略 的 审查 及 核准 。 目 前 ,PKI/CA 相关 的 国家 法 律 法 规 、 地 方法 律 
法 规 .PKI 体系 的 标准 化 工作 及 建立 “CA 互联 互通 示范 工程 ”( 这 是 建设 国家 级 PKI 安全 
认证 体系 的 必由之路 ) 正 在 顺利 推进 。 


2. 政府 根 CA 


根据 国家 PKI 协调 管理 委员 会 的 相关 政策 ,运营 全 国电 子 政务 认证 体系 的 根 CA 证 书 
机 构 , 其 主要 职责 包括 : 运行 管理 电子 政务 根 CA 证 书 机 构 ; 批准 政府 各 部 委 和 省 (或 直辖 
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市 ) 建 立 用 于 政府 内 部 办 公 的 CA 证 书 机 构 和 CP 与 CPS; 为 各 部 委 、 地 区 的 CA 证 书 机 构 
签发 证 书 ,并 查询 它们 的 安全 状态 。 


3. 各 行业 和 地 区 CA 证 书 机 构 


负责 管理 用 于 内 部 认证 的 各 级 CA 证 书 机 构 和 RA 。 
4. 公众 服务 证 书 机 构 SCA 


各 级 政府 在 参与 社会 活动 或 与 其 他 公民 发 生 相 关 业 务 时 ,作为 组 织 法 人 (比如 一 些 公 
司 ,行政 机 关 等 ,与 公民 处 于 同等 的 法 律 地 位 ) 进 入 相应 的 SCA 认证 体系 ,享有 与 公民 对 等 
的 义务 ,承担 对 等 的 法 律 责 任 。 


5. 国家 CA 桥接 中 心 NBCA 


根据 国家 PKI 协调 管理 委员 会 的 相关 政策 和 规范 ,作为 SCA 认证 体系 的 桥接 中 心 , 对 
由 各 行业 、 各 区 域 建立 的 SCA 进行 交换 。 代 表 国 家 与 国外 CA 证 书 机 构 进行 互 认 。 


6. 不 同行 业 和 区 域 CA 


可 以 根据 国家 PKI 协 调 管理 委员 会 规定 的 有 关 政 策 和 规范 ,设立 相应 的 CA 证 书 机 
构 ,如 金融 ,证券 电信、 外 贸 等 行业 CA 证 书 机 构 和 区 域 性 CA 证 书 机 构 。 行 业 CA 证 书 机 
构 和 区 域 CA 证 书 机 构 均 可 以 面向 全 国 发 放 证 书 , 提 供 相 应 的 信息 安全 服务 。 


8.3.3 PKI 的 目标 


PKI 就 是 一 种 基础 设施 ,其 目标 就 是 要 充分 利用 公 钥 密码 学 的 理论 基础 ,建立 起 一 种 普 
遍 适 用 的 基础 设施 ,为 各 种 网 络 应 用 提供 全 面 的 安全 服务 。 公 开 密 钥 密 码 为 人 们 提供 了 一 
种 非 对 称 性 质 , 使 得 安全 的 数字 签名 和 开放 的 签名 验证 成 为 可 能 。 而 这 种 优秀 技术 的 使 用 
却 面临 着 理解 困难 、 实 施 难 度 大 等 问题 。 正 如 让 电视 机 的 开发 者 理解 和 维护 发 电厂 有 一 定 
的 难度 一 样 , 要 让 每 一 个 应 用 程序 的 开发 者 完全 正确 地 理解 和 实施 基于 公开 密 钥 密码 的 安 
全 有 一 定 的 难度 。PKI 希望 通过 一 种 专业 的 基础 设施 的 开发 ,让 网 络 应 用 系统 的 开发 人 员 
从 烦琐 的 密码 技术 中 解脱 出 来 而 同时 享有 完善 的 安全 服务 。 

将 PKI 在 网 络 信息 空间 的 地 位 与 电力 基础 设施 在 工业 生活 中 的 地 位 进行 类 比 可 以 更 
好 地 理解 PKI。 电 力 基础 设施 ,通过 伸 到 用 户 的 标准 插座 为 用 户 提供 能 源 ,而 PKI 通过 延 
伸 到 用 户 本 地 的 接口 为 各 种 应 用 提供 安全 的 服务 。 有 了 PKI, 安 全 应 用 程序 的 开发 者 可 以 
不 用 再 关心 那些 复杂 的 数学 运算 和 模型 ,而 直接 按照 标准 使 用 一 种 插座 (接口 )。 正 如 电 冰 
箱 的 开发 者 不 用 关心 发 电机 的 原理 和 构造 一 样 ,只 要 开发 出 符合 电力 基础 设施 接口 标准 的 
应 用 设备 ,就 可 以 享受 基础 设施 提供 的 能 源 。 

PKI 与 应 用 的 分 离 也 是 PKI 作为 基础 设施 的 重要 标志 。 正 如 电力 基础 设施 与 电器 的 
分 离 一 样 。 网 络 应 用 与 安全 基础 实现 了 分 离 , 有 利于 网 络 应 用 更 快 地 发 展 , 也 有 利于 安全 基 
础 设施 更 好 地 建设 。 正 是 由 于 PKI 与 其 他 应 用 能 够 很 好 地 分 离 , 才 使 得 人 们 能 够 将 之 称 为 
基础 设施 ,PKI 也 才能 从 千差万别 的 安全 应 用 中 独立 出 来 ,才能 有 效 地 独立 地 发 展 壮大 。 
PKI 与 网 络 应 用 的 分 离 实际 上 就 是 网 络 社会 的 一 次 “社会 分 工 ”, 这 种 分 工 可 能 会 成 为 网 络 


应 用 发 展 史 上 的 重要 里 程 碑 。 


8.3.4 PKI 技术 包含 的 内 容 


PKI 在 公开 密 钥 密码 的 基础 上 ,主要 解决 密 钥 属 于 谁 , 即 密 钥 认证 的 问题 。 在 网 络 上 证 
明 公 钥 是 谁 的 ,就 如 同 在 现实 中 证 明 谁 是 什么 名 字 一 样 具 有 重要 的 意义 。 通 过 数字 证 书 ， 
PKI 很 好 地 证 明了 公 钥 是 谁 的 。PKI 的 核心 技术 就 是 围绕 着 数字 证 书 的 申请 、 颁 发 ,使 用 与 
撤销 等 整个 生命 周期 进行 展开 的 。 其 中 ,证 书 撤销 是 PKI 中 最 容易 被 忽视 ,但 却 是 很 关键 
的 技术 之 一 ,也 是 基础 设施 必须 提供 的 一 项 服务 。 

PKI 技术 的 研究 对 象 包括 数字 证 书 , 颁 发 数字 证 书 的 证 书 认 证 中 心 , 持 有 证 书 的 证 书 持 
有 者 和 使 用 证 书 服务 的 证 书 用 户 , 以 及 为 了 更 好 地 成 为 基础 设施 而 必须 具备 的 证 书 注册 机 
构 ,证 书 存储 和 查询 服务 器 ,证 书 状 态 查 询 服 务 器 ,证 书 验证 服务 器 等 。 

PKI 作为 基础 设施 ,两 个 或 多 个 PKI 管理 域 的 互联 就 非常 重要 。PKI 域 间 如 何 互联 ， 
如 何 更 好 地 互联 就 是 建设 一 个 无 颖 的 大 范围 网 络 应 用 的 关键 。 在 PKI 互联 过 程 中 ,PKI 关 
键 设备 之 间 ,PKI 末端 用 户 之 间 , 网 络 应 用 与 PKI 系统 之 间 的 互 操作 与 接口 技术 就 是 PKI 
发 展 的 重要 保证 ,也 是 PKI 技术 的 研究 重点 。 


8.3.5 ”PKI 的 优势 


PKI 作为 一 种 安全 技术 ,已 经 深入 到 网 络 的 各 个 层面 。 这 从 一 个 侧面 反映 了 PKI 强大 
的 生命 力 和 无 与 伦比 的 技术 优势 。PKI 的 灵魂 来 源 于 公 钥 密码 技术 ,这 种 技术 使 得 “ 知 其 
然 , 不 知 其 所 以 然 ” 成 为 一 种 可 以 证 明 的 状态 ,使 得 网 络 上 的 数字 签名 有 了 理论 上 的 安全 保 
障 。 围 绕 着 如 何 用 好 这 种 非 对 称 密码 技术 ,数字 证 书 破 壳 而 出 ,并 成 为 PKI 中 最 为 核心 的 
元 素 


PKI 的 优势 主要 表现 在 : 
(1) 采用 公开 密 钥 密码 技术 ,能 够 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 ,从 而 在 支持 
可 追究 的 服务 上 具有 不 可 替代 的 优势 。 这 种 可 追究 的 服务 也 为 原 发 数据 完整 性 提供 了 更 高 
级 别 的 担保 。 支 持 可 以 公开 地 进行 验证 ,或 者 说 任意 的 第 三 方 可 验证 ,能 更 好 地 保护 弱势 个 
体 , 完 善 平 等 的 网 络 系 统 间 的 信息 和 操作 的 可 追究 性 。 

(2) 由 于 密码 技术 的 采用 ,保护 机 密 性 是 PKI 最 得 天 独 厚 的 优点 。PKI 不 仅 能 够 为 相 
互 认识 的 实体 之 间 提 供 机 密 性 服务 ,同时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

(3) 由 于 数字 证 书 可 以 由 用 户 独立 验证 ,不 需要 在 线 查询 ,原理 上 能 够 保证 服务 范围 的 
无 限制 扩张 ,这 使 得 PKI 能 够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。PKI 采用 数字 证 书 方 
式 进行 服务 , 即 通过 第 三 方 颁发 的 数字 证 书证 明 末 端 实体 的 密 钥 ,而 不 是 在 线 查询 或 在 线 分 
发 。 这 种 密 钥 管理 方式 突破 了 过 去 安全 验证 服务 必须 在 线 的 限制 。 

(4) PKI 提 供 了 证 书 的 撤销 机 制 , 从 而 使 得 其 应 用 领域 不 受 具体 应 用 的 限制 。 撤 销 机 
制 提供 了 在 意外 情况 下 的 补救 措施 ,在 各 种 安全 环境 下 都 可 以 让 用 户 更 加 放心 。 另 外 ,因为 
有 撤销 技术 ,不论 是 永远 不 变 的 身份 .还 是 经 常 变换 的 角色 ,都 可 以 得 到 PKI 的 服务 而 不 用 
担心 被 窃 后 身份 或 角色 被 永远 作废 或 被 他 人 恶意 盗用。 为 用 户 提供 “改正 错误 "或 “后 悔 ”的 
途径 是 良好 工程 设计 中 必须 的 一 环 。 
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(5) PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ,还 是 平等 的 第 三 方 信任 关 
系 ,PKI 都 能 够 按照 人 类 世界 的 信任 方式 进行 多 种 形式 的 互联 互通 ,从 而 使 PKI 能 够 很 好 
地 服务 于 符合 人 类 习惯 的 大 型 网 络 信息 系统 。PKI 中 各 种 互联 技术 的 结合 使 建设 一 个 复杂 
的 网 络 信任 体系 成 为 可 能 。PKI 的 互联 技术 为 消除 网 络 世界 的 信任 孤岛 提供 了 充足 的 技术 
保障 。 


习题 


1. 为 什么 要 进行 密 钥 管理 ? 

2. 为 什么 要 在 密 钥 管理 中 引入 层次 式 结构 ? 
3. 密 钥 管理 的 生命 周期 包括 哪些 阶段 ? 

4. 密 钥 的 分 发 方法 包括 哪些 ? 如 何 实现 ? 


操作 系统 安全 技术 | 


6.i Windows 操作 系统 安全 模型 


9.1.1 Windows 系统 安全 模块 


Windows 系统 的 安全 模块 是 操作 系统 内 核 不 可 分 割 的 一 部 分 。 由 于 访问 任何 系统 资 
源 必 须 经 过 内 核 安全 模块 的 验证 ,从 而 保证 没有 得 到 正确 授权 的 用 户 不 能 访问 相应 的 资源 。 

用 户 使 用 Windows 系统 资源 ,首先 必须 在 系统 中 拥有 账号 ,其 次 ,此 账号 必须 具有 一 定 
的 “权力 ”和 “权限 ”。 在 Windows 系统 中 ,“ 权 力 ” 指 用 户 对 整个 系统 能 够 做 的 事情 ,如 关闭 
系统 增加 设备 、 更 改 系统 时 间 等 。“ 权 限 ” 指 用 户 对 系统 资源 所 能 做 的 事情 ,如 对 某 文件 的 
读 、 写 控制 ,对 打印 机 队列 的 管理 。Windows 系统 使 用 安全 账号 数据 库 , 存 放 用 户 账号 以 及 
该 账号 所 具有 的 权力 等 。 用 户 对 系统 资源 所 具有 的 权限 则 与 特定 的 资源 一 起 存放 。 

在 Windows 系统 中 ,安全 模型 由 本 地 安全 认证 、 安 全 账号 管理 器 和 安全 监督 器 构成 。 
除 此 之 外 还 包括 注册 ,访问 控制 和 对 象 安 全 服务 等 。 它 们 之 间 的 相互 作用 和 集成 构成 了 安 
全 模型 的 主要 部 分 。 

Windows 安全 模型 的 主要 功能 是 用 户 身 份 验证 和 访问 控制 。 身 份 验证 过 程 通过 某 种 
技术 手段 确认 用 户 所 提供 的 身份 的 真实 性 ,并 在 确认 用 户 身份 的 真实 性 后 赋予 用 户 相 应 的 
权利 和 系统 身份 标识 。 访 问 控制 机 制 利 用 用 户 获 得 的 系统 身份 标识 ,以 及 事先 分 配给 用 户 
对 系统 资源 的 权限 来 确保 系统 资源 被 合理 地 使 用 。 


1. 用 户 身份 验证 


Windows 安全 子 系统 提供 了 两 种 类 型 的 身份 验证 : 通过 控制 台 交互 式 登 录 系统 (根据 
用 户 的 计算 机 的 本 地 账户 来 确认 用 户 的 身份 ) 和 通过 网 络 登录 系统 (根据 域 控制 器 中 保留 的 
域 账户 来 确认 用 户 的 身份 ) 从 而 使 得 用 户 可 以 访问 网 络 上 远程 主机 的 资源 。 为 保证 通过 网 
络 登录 系统 的 安全 性 , Windows 安全 子 系统 提供 了 三 种 不 同 的 身份 验证 机 制 : Kerberos 
V5、 公 钥 证 书 和 NTLM。 


2. 基于 对 象 的 访问 控制 
Windows 采用 对 象 模型 描述 系统 资源 ,管理 员 可 以 通过 对 特定 资源 配置 相应 的 用 户 访 
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问 权 限 来 控制 用 户 对 系统 资源 的 访问 。 管 理 员 可 以 通过 域 控制 器 实现 对 整个 域 的 资源 的 统 
一 管理 与 控制 。Windows 系统 允许 管理 员 以 对 象 安全 描述 符 的 方式 描述 具体 的 访问 控制 
策略 。 安 全 描述 符 列 出 了 允许 访问 对 象 的 用 户 和 组 ,以 及 分 配给 这 些 用 户 和 组 的 特殊 权限 。 
安全 描述 符 还 指定 了 该 对 象 需要 安全 审核 特定 事件 ,如 特定 用 户 的 读 , 写 , 执 行文 件 。 文 件 、 
打印 机 和 服务 都 是 对 象 的 具体 例子 。 通 过 管理 对 象 的 属性 ,管理 员 可 以 设置 权限 ,分 配 所 有 
权 以 及 监视 用 户 访问 。 


9.1.2 用 户 名 和 密码 


Windows 系统 的 安全 机 制 通过 分 配 用 户 账 号 和 用 户 密码 来 帮助 保护 计算 机 及 其 资源 。 
给 值得 信任 的 使 用 者 , 按 其 使 用 的 要 求 和 网 络 所 能 给 予 的 服务 分 配合 适 的 用 户 账号 ,并 且 使 
用 足够 安全 的 账号 密码 。 使 用 对 账号 的 用 户 权力 的 限制 以 及 对 文件 的 访问 管理 权限 的 策 
略 , 可 以 达到 对 服务 器 数据 的 保护 。 其 中 用 户 账 号 有 用 户 名 、 全 名 、 描 述 三 个 部 分 。 用 户 名 
是 用 户 账号 的 标识 ,全 名 是 对 应 用 户 名 的 全 称 ,描述 是 对 用 户 所 拥有 的 权限 的 较 具 体 的 说 
明 。 组 有 组 名 和 描述 两 个 部 分 ,组 名 是 标识 ,描述 是 说 明 。 一 定 的 用 户 账号 对 应 一 定 的 权 
限 ,NT 对 权限 的 划分 比较 细 , 例 如 备份 .远程 管理 ,更改 系 统 时 间 等 ,通过 对 用 户 的 授权 (在 
规则 菜单 中 ) 可 以 细 化 一 个 用 户 或 组 的 权限 。 用 户 的 账号 和 密码 有 一 定 的 规则 ,包括 账号 长 
度 ,密码 的 有 效 期 ,登录 失败 的 锁定 ,登录 的 历史 记录 等 ,通过 对 这 些 的 综合 修改 可 以 保证 用 
户 账号 的 安全 使 用 。 

系统 将 用 户 分 为 管理 者 .用 户 和 来 宾 三 类 ,各 有 其 不 同 的 权限 。 系 统 在 安装 完成 后 自动 
建立 Administrator( 系 统管 理 员 ) 和 Guest( 来 宾 ) 用 户 。 可 以 在 系统 启动 后 更 改 系统 管理 员 
的 密码 ,还 可 以 单 击 “添加 /删除 ?来 添加 /删除 用 户 或 用 户 组 。 

系统 管理 员 对 用 户 和 密码 的 管理 权限 主要 有 添加 用 户 、 删 除 用 户 及 更 改 用 户 。 系 统 会 
在 添加 新 用 户 时 询问 其 权限 的 设置 ,在 其 中 可 对 此 用 户 账号 进行 是 否 允 许 修改 密码 .是否 停 
用 账号 等 项 的 设置 。 其 中 , 停 用 账户 和 删除 账户 是 有 区 别 的 , 停 用 账户 是 临时 停止 某 个 账户 
的 使 用 ,随时 可 以 恢复 ,而 删除 掉 的 账户 必须 重建 后 才能 使 用 。 

另外 , Windows 系统 支持 工作 组 的 概念 ,可 以 方便 地 给 一 组 用 户 授予 特权 和 权限 ,同时 

个 用 户 同 时 属于 一 个 或 多 个 工作 组 。 方 便 了 对 用 户 权限 的 细 化 。 在 Windows 系统 中 有 
两 种 类 型 的 工作 组 : 全 局 工作 组 和 本 地 工作 组 。 本 地 工作 组 只 能 在 本 地 的 系统 或 域内 使 
用 。 全 局 工作 组 可 以 在 系统 内 相互 信任 的 域 中 使 用 。 


9.1.3 域 和 委托 


以 Windows 系统 组 建 的 网 络 是 一 个 局 域 网 范围 的 网 。 所 谓 “ 域 "是 指 网 络 服务 器 和 其 
他 计算 机 的 毛 辑 分 组 ,凡是 在 共享 域 范围 内 的 用 户 都 使 用 公共 的 安全 机 制 和 用 户 账号 信息 。 
每 个 用 户 有 一 个 账号 ,每 次 登录 的 是 整个 域 ,而 不 是 某 一 个 服务 器 。 即 使 在 物理 上 相隔 较 
远 ,但 在 逻辑 上 可 以 在 一 个 域 上 , 域 的 集中 化 用 户 账号 数据 库 和 安全 策略 使 得 系统 管理 员 可 
以 用 一 个 简单 而 有 效 的 方法 维护 整个 网 络 的 安全 。 在 网 络 环境 下 ,使 用 域 的 管理 就 显得 更 
为 有 效 。 这 里 应 该 注意 到 在 NT 中 ,关于 域 所 用 的 安全 机 制 信息 或 用 户 账号 信息 都 存放 在 
目录 数据 库 中 ( 称 为 安全 账号 管理 器 (SAM) 数 据 库 )。 目 录 数 据 库存 放 在 服务 器 中 ,并 且 复 


第 9 章 ”操作 系统 安全 技术 


制 到 备份 服务 器 中 。 通 过 有 规律 的 同步 处 理 , 可 以 保证 数据 库 的 安全 性 有效 性 。 在 用 户 每 
次 登录 时 ,通过 目录 数据 库 检查 用 户 的 账号 和 密码 。 所 以 在 对 NT 进行 维护 时 应 该 特别 小 
心目 录 数 据 库 的 完整 性 ,一 般 来 讲 只 有 管理 员 才 具有 对 此 的 编辑 权限 。 

域 最 大 的 优点 是 域 中 的 控制 器 服务 器 形成 了 共享 的 安全 机 制 和 用 户 账号 信息 的 单个 管 
理 单元 ,大 大 地 节省 了 管理 员 和 用 户 的 精力 和 时 间 , 在 管理 上 较 方 便 ,也 显得 集中 。 在 使 用 
“ 域 ” 的 划分 时 ,应 该 注意 到 “ 域 " 是 建立 在 一 个 子 网 范围 内 的 ,其 基础 是 相互 之 间 的 信任 度 。 
由 NT 组 网 区 别 于 一 般 的 TCP/IP 的 组 网 ,TCP/IP 是 一 种 较 松 散 的 组 网 形式 , 靠 路 由 器 完 
成 子 网 之 间 的 寻 径 通信 ; 而 NT 组 网 是 一 种 紧密 的 联合 ,服务 器 之 间 是 靠 安全 信任 建立 它 
们 的 联系 的 。 主 从 关系 ,委托 关系 是 建立 在 信任 度 上 的 。 委 托 是 一 种 管理 办 法 , 它 将 多 个 域 
连接 在 一 起 ,并 且 人 允许 域 中 的 用 户 互相 访问 。 委 托 关 系 可 使 用 户 账号 和 工作 组 能 够 在 建立 
它们 的 域 之 外 的 域 中 使 用 。 委 托 关系 只 能 被 定义 为 单 向 的 ,为 了 获得 双向 委托 关系 , 域 和 域 
之 间 必 须 相互 委托 。 


9.1.4 存储 控制 


Windows 系统 启动 一 个 用 户 进程 ,将 存储 标识 与 之 连 在 一 起 。 存 取 标 识 包含 的 内 容 并 
没有 访问 许可 权限 ,而 存 取 标 识 又 是 用 户 在 系统 中 的 通行 证 ,那么 如 何 根据 存 取 标识 控制 用 
户 对 资源 的 访问 呢 ? 

当 某 个 进程 要 访问 一 个 对 象 时 ,进程 的 SID 与 访问 控制 项 列表 比较 ,决定 是 否 可 以 访 
问 该 对 象 , 访 问 控制 列表 由 访问 控制 项 (ACE) 组 成 ,每 个 访问 控制 项 标识 用 户 和 工作 组 对 
该 对 象 的 访问 权限 。 一 般 情况 下 ,访问 控制 列表 有 三 个 访问 控制 项 ,分 别 代表 以 下 含义 : 拒 
绝对 该 对 象 的 访问 ; 允许 对 该 对 象 读 取 和 写 入 ; 允许 执行 该 对 象 。 访问 控 制 列 表 首先 列 出 
拒绝 访问 的 访问 控制 项 ,然后 才 是 允许 的 访问 控制 项 。 

给 资源 分 配 的 权限 作为 该 资源 的 一 个 属性 与 资源 一 起 存放 。 比 如 目录 为 D: \Files, 对 
其 指定 Userl 只 读 ,User2 可 完全 控制 , 则 这 两 个 权限 都 作为 D:\Files 目录 的 属性 与 该 目 
录 连 在 一 起 ,在 系统 内 部 以 访问 控制 列表 的 形式 存放 。 包 含 了 每 个 权限 的 分 配 ,以 访问 控制 
项 来 表示 。 


[9.2 Windows 操作 系统 安全 设置 
这 里 以 Window 7 操作 系统 为 例 进行 说 明 。 


9.2.1 检查 和 删除 不 必要 的 账户 


单 击 “ 开 始 "按钮 ,选择 “控制 面板 ”中 的 “用 户 账户 ”项 ; 在 弹出 的 对 话 框 中 列 出 了 系统 
的 所 有 账户 。 确 认 各 账户 是 否 仍 在 使 用 ,删除 其 中 不 用 的 账户 。 

例如 ,图 9-1 中 是 以 Administrator 管理 员 登 录 的 界面 , 单 击 “管理 其 他 账户 ”, 可 以 看 到 
如 图 9-2 所 示 的 所 有 用 户 ,可 将 不 用 的 a,b 账户 删除 。 

单 击 a 用户, 可 以 得 到 图 9-3 的 界面 , 单 击 “ 删 除 账户 ” 即 可 。 

如 果 无 法 删除 ,可 以 通过 另 一 种 方法 删除 。 
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3 用 户 账户 
本 中 〇 -区 -二 -用 请 i 家 全 -用户 中 户 | ESE 回 
文件 四 ”编辑 加 ”查看 四 ”工具 中 才 助 吕 
控制 面板 皇 页 更 改 用 户 账户 9 
管理 您 的 任 据 更 也 密码 


创建 密码 重 设备 了 了 宇 码 iaistrater 
链接 联机 ID 更 惧 图 片 针 
管理 文件 加 密 证 书 一 二 


更 了 我 的 H 捕 变量 EE 
a 


图 9-1 Administrator 管理 员 登 录 界 面 


x 


生 虽 -到 -月 层 去 全 “ 用 户 帐户 。 沁 更 订户 了 搜索 控制 面板 
文件 加 ”编辑 加 ”查看 WW ”工具 那 助 四 
选择 希望 更 改 的 账户 


健一 个 汀 账户 
用 户 册 户 是 什么 ? 


您 能 做 的 其 他 事 
加 设置 家 长 控制 
转 到 主 “用 户 帐户” 页面 


9-2 所 有 用 户 


右 击 “ 我 的 电脑 ”, 选 择 “ 管 理 ” 项 ,打开 计算 机 管理 窗口 ,打开 本 地 用 户 和 组 文件 夹 , 右 击 
要 删除 的 账户 名 ,在 弹出 的 菜单 中 ,选择 删除 即 可 ,如 图 9-4 所 示 。 


9.2.2 停止 启用 来 宾 Guest 账户 


在 控制 面板 中 的 “用 户 账户 ”的 对 话 框 中 ,停止 启用 Guest 账户 。 或 者 在 图 9-4 中 , 右 击 
Guest 图 标 , 选 择 “ 属 性 ”项 ,在 打开 的 对 话 框 中 ,选择 “账户 已 禁用 ” 即 可 ,如 图 9-5 所 示 。 


管理 计算 机 咯 ) 的 内 轩 账 户 
供 来 考 访 问 计算 机 或 访问 惰 的 内 


图 9-4 计算 机 管理 -用 户 


图 9-5 ”Guest 用户 设置 
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9.2.3 锁定 无 效 登 录 


为 了 防止 他 人 进入 电脑 时 ,反复 用 猜测 密码 的 方式 登录 ,可 以 锁定 无 效 登 录 , 当 密码 输 
入 错误 达 设 定 次 数 后 , 便 锁 定 此 账户 ,在 一 定时 间 内 不 能 再 以 该 账户 登录 。 

进入 控制 面板 ,依次 展开 * 系 统 与 安全 ”一 “管理 工具 ”一 “本 地 安全 策略 ”, 出 现 * 本 地 安 
全 策略 "窗口 ,在 左 侧 列表 中 打开 “账户 策略 ”>“ 账 户 锁定 策略 ”, 右 侧 出 现 如 图 9-6 所 示 的 


图 9-6 账户 锁定 策略 


在 右边 双击 “账户 锁定 阅 值 ”, 在 弹出 的 设置 对 话 框 中 输入 无 效 登 录 的 次 数 (一 般 设 3 次 
为 宜 ) , 即 如 果 输 入 密码 错误 3 次 ,相应 账户 将 自动 锁定 ,具体 说 明 为 “此 安全 设置 确定 导致 
用 户 账 户 被 锁定 的 登录 尝试 失败 的 次 数 。 在 管理 员 重 置 锁定 账户 或 账户 锁定 时 间 期 满 之 
前 ,无 法 使 用 该 锁定 账户 。 可 以 将 登录 尝试 失败 次 数 设置 为 介 于 0 和 999 之 间 的 值 。 如 果 
将 值 设置 为 0, 则 永远 不 会 锁定 账户 。” 当 进行 设置 时 弹出 对 话 框 “建议 的 数值 改动 ”, 如 
图 9-7 所 示 ,确定 即 可 ,如 果 认为 建议 的 锁定 时 间 不 满意 ,可 以 双击 “账户 锁定 时 间 ” 进 行 更 
改 , 如 图 9-8 所 示 。 


建议 的 数值 改动 


图 9-7 建议 的 数值 改动 
经 过 以 上 设置 ,就 能 够 阻止 那些 靠 猜 密码 登录 的 非法 用 户 了 。 


9.2.4 加 强 密码 安全 
为 了 让 各 账户 的 密码 相对 安全 ,不 易 被 破解 ,可 设置 密码 策略 ,加 强 密码 的 安全 性 ,最 有 
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账户 锁定 时 间 属性 


图 9-8 账户 锁定 时 间 


效 的 方法 是 增加 密码 的 长 度 和 复杂 性 ,并 定期 更 改 密码 。 
进入 控制 面板 ,依次 展开 “系统 与 安全 ”一 “管理 工具 ”一 “本 地 安全 策略 ”, 出 现 “ 本 地 安 
全 策略 ”窗口 ,在 左 侧 列表 中 打开 “账户 策略 ”>“ 密 码 策略 ”, 如 图 9-9 所 示 。 


已 本 地 去 


图 9-9 密码 策略 


打开 “密码 长 度 最 小 值 ” ,设置 最 少 字符 数 为 8 位 以 上 。 

打开 “密码 必须 符合 复杂 性 要 求 ”, 设 置 为 “已 启动 ”。 

打开 “密码 最 长 使 用 期 限 ? 设 置 密码 能 使 用 的 天 数 。 

注意 ,在 窗口 中 可 查看 上 面 设 置 的 内 容 说 明 ,经 过 以 上 三 项 设置 后 , 凡 新 建 账 户 或 老 账 
户 更 改 密码 时 ,系统 会 要 求 使 用 8 位 以 上 同时 包含 英文 字母 .数字 或 标点 的 密码 ,并 且 必 须 
按 设 定 的 时 间 定 期 更 改 密码 ,密码 的 安全 性 将 大 大 增强 。 

说 明 : 如 果 感 觉 密码 输入 太 复 杂 而 不 方便 时 ,可 不 设置 以 上 的 内 容 。 
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9.2.5 设置 账户 名 保密 


默认 情况 下 ,在 系统 登录 框 中 会 保留 上 次 登录 的 用 户 名 ,这 方便 了 该 用 户 的 登录 ,但 却 
留 下 了 安全 隐患 ,特别 是 对 管理 员 账 户 ,暴露 账户 名 称 是 一 件 非常 危险 的 事情 ,因为 有 不 良 
企图 者 只 需 输入 密码 便 可 尝试 登录 ,甚至 使 用 专门 的 工具 来 攻破 此 账户 。 可 以 将 上 次 登录 
账户 隐藏 起 来 。 

进入 控制 面板 ,依次 展开 “系统 与 安全 "一 “管理 工具 ”一 “本 地 安全 策略 ”, 出 现 “ 本 地 安 
全 策略 "窗口 , 单 击 * 安 全 选项 *, 如 图 9-10 所 示 。 在 右边 找到 “不 显示 最 后 的 用 户 名 ”, 双 击 
打开 此 策略 ,将 其 设置 为 “已 启用 ”。 


蕊 本 地 安全 策略 


文件 @) 操作 W) 查看 W 帮助 00 
KT EA ee 


回国 账 让 的 关 机 ” 青 诬 羽 内 存 页 而 文件 已 用 
日 国 本 路 国 关机 : 允许 系统 在 未 登录 的 情况 下 关闭 已 启用 
田 号 审核 申 加 
区 用 户 权限 分 本 ) 动 管理 党 录 已 
田 国 高 级 安全 Windows 防火 墙 一 > | 2 
i i 
er 负 定 会 话 时 显示 用 户 信息 没有 定义 
Fe 提示 用 户 在 过 期 之 前 更 履 密码 5 
无 须 按 Ctrl+ALttDel 已 启用 
村 i I 
要 智能 已 本 用 
SR dle 
暂 能 卡 移 了 行为 无 操作 
设备 : 防 上 用户 安装 打 Ep 机 驱动 程序 已 所 有 
ee 人 没有 定义 
的 访问 权限 公 限 于 本 地 登录 的 用 户 没有 定义 
六 人 进化 下 没有 定义 
介 许 在 未 登录 的 情况 下 弹出 已 让 用 
对 备份 和 还 原 权限 的 使 用 进行 审核 已 用 
对 全 局 系统 和 象 的 访问 进行 审核 已 其 用 
国 审 校 : 强制 审核 第 隐 邓 类 只 置 Findors Vists 或 更 高 版 .。 没有 定义 
有 人 -如 当代 已 本 用 
国 网 安全 :LN 管理 身份 只 证 名 没有 定义 
a 生 全 协商 签名 
国 网 安全， 基于 ru SsP 的 (包括 安全 MrC) 服 务 器 的 最 要求 128 位 加 密 
> 加 络 害 全 。 其 干 TIIL_SSP 的 [ 徊 醋 安全 RPC) 灾 户 油 的 最 。 要求 128 位 加 认 ， | 
一 一 二 
图 9-10 ”安全 选项 


进行 此 项 设置 后 ,系统 启动 或 注销 后 ,登录 框 中 用 户 名 为 空 ,必须 输入 完整 有 效 的 用 户 
名 和 密码 才能 登录 。 


9.2.6 更 改 Administrator 账户 的 名 字 

将 计算 机 默认 的 管理 员 名 修改 ,以 达到 安全 效果 。 

右 击 “ 我 的 电脑 ,选择 “管理 ”本 地 用 户 和 组 一 “用 户 ”, 右 击 Administrator, 如 
图 9-11 所 示 , 重 命名 输入 所 需要 的 名 字 即 可 。 

9.2.7 禁止 枚 举 账 号 


由 于 某 些 具有 黑客 行为 的 蠕虫 病毒 可 以 通过 扫描 系统 的 指定 端口 ,然后 共享 会 话 猜测 管 
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文件 操作 J 查看 帮助 
TE 
本 


日 角 系 g 内 羞 账 户 
轿 2 ae ae 机 或 访问 域 的 内 
查看 器 本 HonecroupUserS HomeGr oupUser$ ond 
四 | 区 和 
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9-11 更 改 Administrator 账户 的 名 字 


理 系 统 口 令 , 所 以 要 用 户 设置 本 地 安全 策略 ,来 禁止 枚 举 账号 ,从 而 能 抵御 此 类 入 侵 行为 。 


进入 控制 面板 ,依次 展开 “系统 与 安全 ”一 “管理 工具 ”一 “本 地 安全 策略 ”, 出 现 “ 本 地 安 


全 策略 "窗口 , 单 击 “ 安 全 选项 ”, 在 右边 找到 “不 允许 SAM 账户 匿名 枚 举 ”, 双 击 打开 此 策 
略 , 将 其 设置 为 “已 启用 ”, 同 时 还 要 对 后 面 的 “不 允许 SAM 账户 和 共享 的 匿名 枚 举 ” 选 择 启 
用 ,如 图 9-12 所 示 。 
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9.2.8 停止 Schedule 服务 
Windows 的 Schedule 服务 可 以 帮助 系统 管理 员 设计 一 个 在 某 个 时 间 执 行 的 批 任务 。 


由 于 Schedule 服务 通常 在 系统 账号 下 执行 , 它 可 以 修改 账号 的 权限 。 这 就 意味 着 和 人 侵 者 可 
以 修改 Schedule 配置 并 放 入 一 个 TROJAN 木马 程序 来 修改 网 络 的 访问 权限 。 


进入 控制 面板 ,依次 展开 “系统 与 安全 ”一 “管理 工具 ”一 “任务 计划 程序 ”, 出 现 图 9-13 的 
口 。 在 右 侧 可 以 看 到 很 多 选项 ,包括 “创建 新 的 、 查 看 已 有 的 ”, 可 以 删除 所 有 的 计划 任务 。 
停止 Schedule 服务 ,不 会 对 系统 造成 任何 不 良 的 影响 。 
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图 9-13 计划 任务 


9.2.9 登录 前 显示 一 条 警示 信息 


利用 此 项 功能 可 以 在 登录 前 提示 一 些 警示 信息 或 注意 事项 ,以 保持 系统 的 正常 安全 运 
行 。 同 时 防止 用 户 对 远程 终端 服务 口令 进行 自动 化 的 脚本 猜测 。 

进入 控制 面板 ,依次 展开 “系统 与 安全 ”一 “管理 工具 ”>“ 本 地 安全 策略 ”, 出 现 “ 本 地 安 
全 策略 "窗口, 单 击 “ 安 全 选项 ”, 在 右边 找到 “试图 登录 的 用 户 的 消息 文本 ”, 如 图 9-14 所 示 。 
双击 打开 此 策略 ,出 现 图 9-15 的 对 话 框 ,输入 警示 话语 即 可 。 
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交互 式 登录 : 试图 登录 的 用 户 的 消息 文本 医 性 


图 9-15 文本 设置 


9.2.10 从 登录 对 话 框 中 删除 关机 按钮 


如 果 在 登录 界面 上 出 现 “ 关 机 ”按钮 的 话 , 所 有 能 够 接触 到 该 主机 的 用 户 都 可 以 关闭 机 
器 ,这 是 极其 危险 的 ,因此 建议 在 登录 界面 上 删除 “关机 ”按钮 。 

进入 控制 面板 ,依次 展开 “系统 与 安全 ”一 “管理 工具 ”一 “本 地 安全 策略 ”, 出 现 “ 本 地 安 
全 策略 ”窗口 , 单 击 “ 安 全 选项 ”, 在 右边 找到 “允许 系统 在 未 登录 的 情况 下 关闭 ”, 如 图 9-16 
所 示 。 双 击 打开 此 策略 , 改 成 “已 禁用 ”。 
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1. 叙述 计算 机 系统 安全 的 主要 内 容 。 
2. 安全 操作 系统 的 主要 功能 有 哪些 ? 
3. 计算 机 或 网 络 系统 在 安全 性 上 受到 的 威胁 有 哪些 ? 


计算 机 病毒 与 木马 | 


fo 计算 机 病毒 概述 


一 般 来 讲 , 凡 是 能 够 引起 计算 机 故障 ,能 够 破坏 计算 机 中 的 资源 (包括 硬件 和 软件 ) 的 代 
码 ,统称 为 计算 机 病毒 。 美 国 国家 计算 机 安全 局 出 版 的 (计算 机 安全 术语 汇编 ?对 计算 机 病 
毒 的 定义 是 :“ 计 算 机 病毒 是 一 种 自我 繁殖 的 特洛伊 木马 , 它 由 任务 部 分 、 接 触 部 分 和 自我 
繁殖 部 分 组 成 ”。 而 在 我 国 也 通过 条 例 的 形式 给 计算 机 病毒 下 了 一 个 具有 法 律 性 、 权 威 性 的 
定义 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 明 确定 义 :“ 计 算 机 病毒 (Computer 
Virus) 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 
且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 


10.1.1 计算 机 病毒 的 特性 


1. 计算 机 病毒 的 非 授 权 可 执行 性 


计算 机 病毒 与 其 他 合法 程序 一 样 ,是 一 段 可 执行 程序 ,但 它 不 是 一 个 完整 的 程序 ,而 是 
寄生 在 其 他 可 执行 程序 上 的 ,因为 它 享 有 一 切 程序 所 能 得 到 的 权力 。 在 病毒 运行 时 ,与 合法 
程序 争夺 系统 的 控制 权 。 计 算 机 病毒 只 有 当 它 在 计算 机 内 得 以 运行 时 , 才 具 有 传染 性 和 破 
坏 性 。 也 就 是 说 计算 机 CPU 的 控制 权 是 关键 问题 。 

用 户 通常 调用 执行 一 个 程序 时 ,把 系统 控制 交 给 这 个 程序 ,并 分 配给 它 相应 的 系统 资 
源 , 如 内 存 , 从 而 使 之 能 够 运行 完成 用 户 的 需求 。 因 此 程序 执行 的 过 程 对 用 户 是 透明 的 。 而 
计算 机 病毒 是 非法 程序 ,正常 用 户 是 不 会 明知 是 病毒 程序 ,而 故意 调用 执行 的 。 但 由 于 计算 
机 病毒 具有 正常 程序 的 一 切 特性 , 即 可 存储 性 、 可 执行 性 。 它 隐藏 在 合法 的 程序 或 数据 中 ， 
当 用 户 运 行 正常 程序 时 ,病毒 伺机 窃取 到 系统 的 控制 权 , 得 以 抢先 运行 ,然而 此 时 用 户 还 认 
为 在 执行 正常 程序 。 

2. 计算 机 病毒 的 隐蔽 性 


计算 机 病毒 是 一 种 具有 很 高 编程 技巧 .短小精悍 的 可 执行 程序 代码 或 者 一 个 独立 存在 
的 程序 ,为 了 防止 被 发 现 , 总 是 千方百计 地 将 自己 隐藏 起 来 。 如 不 经 过 程序 代码 分 析 或 计算 
机 病毒 代码 扫描 ,病毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 

计算 机 病毒 的 隐藏 性 表现 为 两 个 方面 : 
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(1) 传染 的 隐蔽 性 。 一 般 不 具有 外 部 表现 ,不 易 被 人 发 现 。 

(2) 病毒 程序 存在 的 隐蔽 性 。 一 般 的 病毒 程序 都 夹 在 正常 程序 之 中 ,很 难 被 发 现 , 而 一 
旦 病毒 发 作出 来 ,往往 已 经 给 计算 机 系统 造成 了 不 同 程度 的 破坏 。 

从 计算 机 病毒 隐藏 的 位 置 来 看 ,不 同 的 病毒 隐藏 在 不 同 的 位 置 。 位 于 系统 引导 区 的 病 
毒 通常 不 需要 隐藏 ,因为 引导 区 内 的 代码 通常 是 不 可 见 的 ; 依附 在 文件 上 的 病毒 由 于 有 文 
件 做 掩护 ,通常 也 不 需要 特殊 的 隐藏 措施 ,但 是 文件 被 病毒 附 身后 尺寸 往往 会 增 大 ,一 些 隐 
蔽 性 好 的 病毒 会 将 自身 藏匿 在 这 些 文件 内 部 未 被 使 用 的 空隙 中 ,使 感染 后 的 文件 尺寸 并 未 
增 大 ,隐蔽 性 得 到 加 强 ; 独立 存在 的 病毒 没有 宿主 程序 做 掩护 ,隐蔽 性 很 差 ,通常 仅 采取 将 
病毒 程序 加 上 隐藏 和 系统 属性 ,在 Windows 系统 中 进行 合理 的 配置 就 可 以 使 这 些 病 毒 
现 身 。 


3. 计算 机 病毒 的 传染 性 


传染 是 病毒 最 重要 的 特征 ,是 判断 一 段 程序 代码 是 否 为 计算 机 病毒 的 依据 。 计算机 病 
毒 依靠 其 传染 性 不 断 将 自己 复制 和 扩散 ,这 是 计算 机 病毒 和 特洛伊 木马 程序 的 显著 区 别 。 

计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 段 程序 代码 一 旦 进入 计算 机 并 得 以 
执行 , 它 就 会 搜索 其 他 符合 其 传染 条 件 的 程序 或 者 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 
其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 感染 病毒 ,如 不 及 时 处 理 ,那么 病毒 会 在 这 人 台 
计算 机 上 迅速 扩散 ,其 中 的 大 量 文件 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,再 与 其 
他 机 器 进行 数据 交换 或 通过 网 络 接触 ,病毒 会 继续 进行 传染 。 在 某 些 情况 下 造成 被 感染 的 
计算 机 工作 失常 甚至 瘫痪 ,因此 ,这 也 是 计算 机 病毒 这 一 名 称 的 由 来 。 

计算 机 病毒 的 传染 方式 有 多 种 ,通常 采取 通过 接管 系统 中 断 的 方法 传染 。 所 有 的 传染 
都 是 在 病毒 程序 被 启动 后 才能 够 进行 的 。 未 被 启动 的 病毒 程序 是 不 会 传染 的 。 病 毒 程序 被 
启动 后 抢先 接管 系统 中 断 , 当 有 磁盘 或 文件 读 写 等 操作 时 首先 被 发 现 , 病 毒 程序 判断 是 否 需 
要 对 这 个 磁盘 或 文件 进行 感染 ,如 果 需 要 则 病毒 程序 自动 将 病毒 代码 写 人 此 磁盘 或 文件 中 ， 
完成 病毒 的 感染 过 程 ,传染 病毒 完成 后 病毒 程序 再 对 磁盘 或 文件 进行 正常 的 读 写 操作 ,使 用 
户 无 法 发 现 病毒 的 传染 。 有 些 病毒 接管 网 络 通信 中 断 , 当 进行 网 络 通 信 时 这 些 病毒 将 病毒 
代码 通过 网 络 通信 传输 到 远方 目标 计算 机 ,完成 病毒 的 传染 过 程 。 


4. 计算 机 病毒 的 潜伏 性 


计算 机 病毒 为 了 更 广泛 地 传播 和 扩散 ,通常 完成 传染 过 程 后 不 会 立即 发 作 进行 破坏 活 
动 ,而 是 将 自己 深 深 地 隐藏 起 来 ,伺机 进行 传染 。 一 个 计算 机 病毒 的 潜伏 性 越 好 ,其 在 系统 
中 存在 的 时 间 就 会 越 长 ,病毒 的 传染 范围 就 会 越 广 , 其 危险 性 和 破坏 性 就 越 大 。 

计算 机 病毒 潜伏 性 的 第 一 种 表现 是 指 , 病 毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 , 因 
此 病毒 可 以 潜伏 在 磁盘 或 磁带 里 几 天 ,甚至 几 年 ,一 旦 时 机 成 熟 ,得 到 运行 机 会 ,就 又 要 四 处 
繁殖 .扩散 ,继续 危害 ; 第 二 种 表现 是 指 , 计 算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满足 触 
发 条 件 时 ,计算 机 病毒 除了 传染 外 没有 别 的 破坏 ,触发 条 件 一 旦 得 到 满足 ,有 的 在 屏幕 上 显 
示 信 息 、 图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 磁盘 文件 、 对 数 
据 文件 做 加 密 、 封 锁 键盘 以 及 使 系统 死 锁 等 。 
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5. 计算 机 病毒 的 破坏 性 


按 计算 机 病毒 的 破坏 性 可 将 其 分 为 主动 进行 破坏 的 恶性 病毒 和 不 主动 进行 破坏 的 良性 
病毒 。 

恶性 病毒 的 破坏 性 很 明显 ,如 删除 磁盘 文件 、 破 坏 磁 盘 分 区 、 破 坏 CMOS 内 容 甚至 破坏 
BIOS 内 引导 程序 。 这 些 破坏 会 给 用 户 造成 巨大 的 损失 ,会 使 用 户 多 年 的 心血 毁 于 一 旦 ,这 
一 类 病毒 令 广大 计算 机 用 户 深 恶 痛 绝 。 还 有 一 类 计算 机 病毒 并 不 主动 进行 破坏 ,不 破坏 用 
户 的 文件 资源 ,也 不 会 造成 系统 死机 和 崩溃 ,甚至 有 时 还 会 给 用 户 播放 一 段 优美 的 乐曲 或 不 
定时 地 弹出 一 个 问候 语 。 这 些 计算 机 病毒 虽然 不 直接 对 系统 进行 破坏 ,但 是 其 运行 时 必定 
要 占用 用 户 的 系统 资源 ,降低 用 户 计算 机 系统 的 工作 效率 ,而 这 种 占用 是 未 经 用 户 允 许 的 。 
所 有 未 经 用 户 允 许 就 擅自 侵占 用 户 资源 的 行为 都 是 对 用 户 系 统 资源 的 侵占 和 破坏 。 因 此 说 
所 有 的 计算 机 病毒 都 具有 破坏 性 。 

计算 机 病毒 的 破坏 性 取决 于 计算 机 病毒 制造 者 的 目的 和 水 平 , 它 可 以 直接 破坏 计算 机 
数据 信息 ,抢占 系统 资源 、 影 响 计 算 机 运行 速度 以 及 对 计算 机 硬件 构成 破坏 等 。 病 毒 程序 的 
表现 性 或 破坏 性 体现 了 病毒 设计 者 的 真正 意图 。 正 是 由 于 计算 机 病毒 可 怕 的 破坏 性 才 使 得 
计算 机 病毒 如 此 怒 怖 。 


6. 计算 机 病毒 的 寄生 性 


计算 机 病毒 通常 不 是 以 一 个 独立 的 程序 出 现在 计算 机 系统 中 的 ,而 是 附着 在 计算 机 的 
操作 系统 、 各 个 可 执行 文件 等 的 宿主 程序 中 生存 ,因而 在 其 潜伏 阶段 不 易 被 人 察觉 。 


7. 计算 机 病毒 的 衍生 性 


计算 机 病毒 的 衍生 性 是 指 计算 机 病毒 的 制造 者 依据 个 人 的 主观 愿望 ,对 某 一 个 已 知 病 
毒 程序 进行 修改 而 衍生 出 男 外 一 种 或 多 种 来 源 于 同一 种 病毒 ,而 又 不 同 于 源 病毒 程序 的 病 
毒 程序 , 即 源 病毒 程序 的 变种 。 病 毒 的 衍生 性 为 一 些 好 事 者 提供 了 一 种 创造 新 病毒 的 捷径 。 
这 也 许 就 是 病毒 种 类 繁多 、 复 杂 的 原因 之 一 。 


8. 计算 机 病毒 的 可 触发 性 


计算 机 病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触 
发 性 。 

计算 机 病毒 为 了 隐藏 自己 ,必须 潜伏 , 少 做 动作 。 但 如 果 完 全 不 动 ,一 直 潜 伏 , 病 毒 就 既 
不 能 感染 也 不 能 进行 破坏 , 便 失 去 了 杀伤 力 。 

病毒 既 要 隐藏 又 要 维持 杀伤 力 ,必须 具有 可 触发 性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感 
染 和 破坏 动作 的 频率 的 。 病 毒 具 有 预定 的 触发 条 件 ,这 些 条 件 可 能 是 时 间 \ 日 期 \ 文 件 类 型 
或 某 些 特定 数据 等 。 病 毒 运 行 时 ,触发 机 制 检查 预定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 
破坏 动作 ,使 病毒 进行 感染 或 攻击 ; 如 果 不 满足 ,使 病毒 继续 潜伏 。 


10.1.2 计算 机 病毒 的 传播 途径 
传染 性 是 计算 机 病毒 最 基本 的 特性 ,也 是 病毒 赖 以 生存 繁殖 的 条 件 , 如 果 计 算 机 病毒 没 
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有 传播 渠道 , 则 其 破坏 性 小 ,扩散 面 窗 , 难 以 造成 大 面积 流行 。 因 此 计算 机 病毒 必须 要 * 拱 
载 ? 到 计算 机 上 才能 感染 系统 ,通常 它们 是 附加 在 某 个 文件 上 的 。 

处 于 潜伏 期 的 病毒 在 激发 之 前 ,不 会 对 计算 机 内 的 信息 进行 破坏 , 即 绝 大 部 分 磁盘 信息 
没有 遭 到 破坏 。 因 此 ,只 要 消除 没有 发 作 的 计算 机 病毒 ,就 可 保护 计算 机 的 信息 。 病 毒 的 复 
制 与 传染 过 程 只 能 发 生 在 病毒 程序 代码 被 执行 过 后 。 也 就 是 说 ,虽然 有 一 个 带 有 病毒 程序 
的 文件 存储 在 计算 机 硬盘 上 ,但 是 只 要 永远 不 去 执行 它 , 这 个 计算 机 病毒 也 就 永远 不 会 感染 
计算 机 。 从 用 户 的 角度 来 说 ,只 要 能 保证 所 执行 的 程序 是 “干净 ”的 , 那 计算 机 就 绝 不 会 染 上 
病毒 ,但 是 由 于 计算 机 系统 自身 的 复杂 性 ,许多 用 户 是 在 不 清楚 所 执行 的 程序 是 否 可 靠 的 情 
况 下 执行 程序 的 ,这 就 使 得 病毒 人 侵 的 机 会 大 大 增加 ,并 得 以 传播 扩散 。 

计算 机 病毒 的 传播 主要 通过 文件 复制 .文件 传送 、 文 件 执行 等 方式 进行 ,文件 复制 与 文 
件 传 送 需 要 传输 媒介 ,文件 执行 则 是 病毒 感染 的 必然 途径 (Word、Excel 等 宏 病 毒 通过 
Word、Excel 调用 间接 地 执行 ) ,因此 ,病毒 传播 与 文件 传输 媒体 的 变化 有 着 直接 关系 。 通 过 
认真 研究 各 种 计算 机 病毒 的 传染 途径 ,有 的 放 矢 地 采取 有 效 措施 ,必定 能 在 对 抗 计算 机 病毒 
的 斗争 中 占据 有 利 地 位 ,更 好 地 防止 病毒 对 计算 机 系统 的 侵袭 。 计 算 机 病毒 的 主要 传播 途 
径 如 下 。 


1. 光盘 


光盘 因为 容量 大 ,可 以 存储 大 量 的 可 执行 文件 ,而 大 量 的 病毒 就 有 可 能 藏身 于 光盘 中 。 
对 于 只 读 式 光盘 ,由 于 不 能 进行 写 操作 ,因此 光盘 上 的 病毒 不 能 清除 。 在 以 谋 利 为 目的 非 
法 盗版 软件 制作 过 程 中 ,不 可 能 为 病毒 防护 担负 专门 责任 ,也 决 不 会 有 真正 可 靠 的 技术 
保障 避免 病毒 的 侵入 、 传 染 .流行 和 扩散 。 当 前 ,盗版 光盘 的 泛滥 给 病毒 的 传播 带 来 了 极 
大 的 便利 ,甚至 有 些 光盘 上 的 杀 病 毒 软件 本 身 就 带 有 病毒 ,这 就 给 本 来 “干净 ”的 计算 机 
带 来 了 灾难 。 


2. 硬盘 


有 时 , 带 病毒 的 硬盘 ( 含 移动 硬盘 、U 盘 ) 会 在 本 地 或 移 到 其 他 地 方 使 用 甚至 维修 等 ,这 
就 会 传染 干净 的 软盘 或 者 感染 其 他 硬盘 并 扩散 病毒 。 


3. 有 线 网 络 


现代 通信 技术 的 巨大 进步 已 使 空间 距离 不 再 遥远 ,数据 \ 文 件 . 电 子 邮件 可 以 方便 地 在 
各 个 网 络 工作 站 间 通 过 电缆 、 光 纤 或 电话 线路 进行 传送 ,工作 站 的 距离 可 以 短 至 并 排 摆 放 的 
计算 机 ,也 可 以 长 达 上 万 千 米 , 这 在 为 人 们 带 来 便利 的 同时 也 为 计算 机 病毒 的 传播 提供 了 新 
的 载体 。 计 算 机 病毒 可 以 附着 在 正常 文件 中 , 当 从 网 络 另 一 端 得 到 一 个 被 感染 的 程序 ,并 在 
计算 机 上 未 加 任何 防护 措施 的 情况 下 运行 它 时 ,病毒 就 传染 开 来 。 这 种 病毒 传染 方式 常 
见于 在 计算 机 网 络 连接 很 普及 的 国家 ,国内 计算 机 感染 一 些 “ 进 口 ” 病 毒 已 不 再 是 什么 大 
惊 小 怪 的 事 了 。 在 信息 国际 化 的 同时 ,病毒 也 在 国际 化 。 大 量 的 国外 病毒 随 着 因特网 传 
和 人 国内。 

网 络 的 快速 发 展 促进 了 以 网 络 为 媒介 的 各 种 服务 (FTP, WWW ,BBS,E-mail 等 ) 的 快 
速 普及 。 同 时 ,这 些 服务 也 成 了 新 的 病毒 传播 方式 。 
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电子 布告 栏 (BBS): BBS 是 由 计算 机 爱好 者 自发 组 织 的 通信 站 点 ,用 户 可 以 在 BBS 上 
进行 文件 交换 (包括 自由 软件 、 游 戏 、 自 编程 序 )。 由 于 大 多 数 BBS 网 站 没有 严格 的 安全 管 
理 , 亦 无 任何 限制 ,这 样 就 给 一 些 病 毒 程序 编写 者 提供 了 传播 病毒 的 场所 。 各 城市 BBS 站 
点 通过 中 心 站 点 进行 传送 ,传播 面 较 广 。BBS 在 国内 的 普及 ,给 病毒 的 传播 又 增加 了 新 的 
介质 。 

电子 邮件 (E-mail) : 计算 机 病毒 主要 以 附件 的 形式 进行 传播 ,由 于 人 们 可 以 发 送 任何 
类 型 的 文件 ,而 大 部 分 计算 机 病毒 防护 软件 在 这 方面 的 功能 还 不 是 十 分 完善 ,使 得 电子 邮件 
成 为 当今 世界 上 传播 计算 机 病毒 最 主要 的 媒介 。 

即时 消息 服务 (QQ,ICQ,MSN 等 ): 像 电 子 邮件 一 样 ,消息 服务 同样 可 以 自由 地 传播 
文件 ,从 而 也 成 为 计算 机 病毒 传播 的 主要 途径 之 一 。 

Web 服务 : Web 网 站 在 传播 有 益 信息 的 同时 ,也 成 了 传播 不 良 信息 的 重要 途径 。 
Script 和 ActiveX 技术 被 广泛 用 来 编制 病毒 和 恶意 攻击 程序 ,它们 主要 通过 Web 网 站 传 
播 ,不 法 分 子 或 好 事 之 徒 制作 的 匿名 个 人 网 页 直接 提供 了 下 载 大 批 病毒 活 样 本 的 便利 途 
径 。 散 见于 网 站 上 大 批 的 病毒 制作 工具 、 向 导 、 程 序 等 ,使 得 无 编程 经 验 者 制造 新 病毒 成 
为 可 能 。 新 技术 、 新 病毒 使 得 几乎 所 有 人 在 不 知情 时 无 意 中 成 为 病毒 扩散 的 载体 或 传 
播 者 。 

FTP 服务 : 通过 这 个 服务 ,可 以 将 文件 放 在 世界 的 任何 一 台 计 算 机 上 ,或 者 从 计算 机 复 
制 到 本 地 机 器 上 。 这 很 大 程度 上 方便 了 学 习 和 交流 ,成 为 因特网 上 别有用心 的 人 使 用 的 工 
具 。 关 于 病毒 制作 研究 讨论 的 学 术 性 质 的 电子 论文 ,期刊 ,杂质 得 到 最 大 程度 的 共享 ,但 同 
时 也 使 因特网 上 的 病毒 传播 更 容易 ,更 广泛 。 这 一 途径 能 传播 现 有 的 所 有 病毒 ,所 以 在 使 用 
FTP 时 就 更 要 注意 防毒 。 

新 闻 组 : 通过 这 种 服务 ,可 以 与 世界 上 的 任何 人 讨论 某 个 话题 ,或 选择 接收 感 兴趣 的 有 
关 新 闻 邮 件 。 但 这 些 信息 当中 包含 的 附件 有 可 能 使 计算 机 感染 病毒 。 


4. 无 线 通信 系统 


无 线 网 络 已 经 越 来 越 普 及 ,但 很 少 有 无 线装 置 拥有 防毒 功能 。 由 于 未 来 有 更 多 的 手机 
通过 无 线 通信 系统 和 因特网 连接 ,因此 手机 已 成 为 电脑 病毒 的 下 一 个 攻击 目标 。 病 毒 一 旦 
发 作 , 手 机 就 会 出 现 故 障 。 

病毒 对 手机 的 攻击 有 三 个 层次 : 攻击 WAP 服务 器 ,使 手机 无 法 访问 服务 器 ; 攻击 网 
关 , 向 手机 用 户 发 送 大 量 垃 圾 信息 ; 直接 对 手机 本 身 进行 攻击 ,有 针对 性 地 对 其 操作 系统 和 
运行 程序 进行 攻击 ,使 手机 无 法 提供 服务 。 

上 面 讨 论 了 计算 机 病毒 的 传染 渠道 , 随 着 各 种 反 病毒 技术 的 发 展 和 人 们 对 病毒 各 种 特 
性 的 了 解 ,通过 对 各 条 传播 途径 的 严格 控制 ,来 自 病毒 的 侵扰 会 越 来 越 少 。 


10.1.3 计算 机 病毒 的 分 类 


计算 机 病毒 技术 的 发 展 ,病毒 特征 的 不 断 变 化 ,给 计算 机 病毒 的 分 类 带 来 了 一 定 的 困 
难 。 根 据 多 年 来 对 计算 机 病毒 的 研究 ,按照 不 同 的 体系 可 对 计算 机 病毒 进行 以 下 分 类 。 


163 


™ 


164 


信息 安全 原理 与 应 用 技术 


1. 按 病 毒 存在 的 媒体 


根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 络 病毒 ,文件 病毒 .引导 型 病毒 和 混合 型 病毒 。 

(1) 网 络 病毒 : 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 。 

(2) 文件 病毒 : 感染 计算 机 中 的 文件 (如 COM,EXE,DOC 等 ) 。 

(3) 引导 型 病毒 : 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR ) 。 

(4) 混合 型 病毒 : 是 上 述 三 种 情况 的 混合 。 例 如 ,多 型 病毒 (文件 和 引导 型 ) 感 染 文件 
和 引导 扇 区 两 种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系 
统 , 同 时 使 用 了 加 密 和 变形 算法 。 


2. 按 病毒 传染 的 方法 


根据 病毒 的 传染 方法 ,可 将 计算 机 病毒 分 为 引导 扇 区 传染 病毒 .执行 文件 传染 病毒 和 网 
络 传染 病毒 。 

(1) 引导 扇 区 传染 病毒 : 主要 使 用 病毒 的 全 部 或 部 分 代码 取代 正常 的 引导 记录 ,而 将 
正常 的 引导 记录 隐藏 在 其 他 地 方 。 

(2) 执行 文件 传染 病毒 : 寄生 在 可 执行 程序 中 ,一 旦 程序 执行 ,病毒 就 被 激活 ,进行 预 

(3) 网 络 传染 病毒 : 这 类 病毒 是 当前 病毒 的 主流 ,特点 是 通过 因特网 络 进行 传播 。 例 
如 ,蠕虫 病毒 就 是 通过 主机 的 漏洞 在 网 上 传播 的 。 


3. 按 病毒 破坏 的 能 力 


根据 病毒 破坏 的 能 力 , 计 算 机 病毒 可 划分 为 无 害 型 病毒 、 无 危险 病毒 .危险 型 病毒 和 非 
常 危险 型 病毒 。 

(1) 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 仅仅 是 减少 内 存 . 显 示 图 像 .发 出 声音 。 

(3) 危险 型 : 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 删除 程序 、 破 坏 数据 、 清 除 系 统 内 存 和 操作 系统 中 重要 的 信息 。 

有 些 病 毒 对 系统 造成 的 危害 ,并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它们 传染 时 
会 引起 无 法 预料 的 灾难 性 的 破坏 。 由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 文件 和 扇 
区 ,这 些 病 毒 也 按照 它们 引起 的 破坏 能 力 进行 划分 。 目 前 的 一 些 无 害 型 病毒 也 可 能 会 对 新 
版 的 DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 ,在 早期 的 病毒 中 ,有 一 个 名 为 
Denzuk 的 病毒 在 360KB 的 磁盘 上 不 会 造成 任何 破坏 .但 是 在 后 来 的 高 密度 软盘 上 却 能 导 
致 大 量 的 数据 丢失 。 


4. 按 病毒 算法 


根据 病毒 特有 的 算法 ,病毒 可 以 分 为 伴随 型 病毒 .蠕虫 型 病毒 .寄生 型 病毒 .练习 型 病 
毒 .诡秘 型 病毒 和 幽灵 病毒 。 

(1) 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM) ,例如 ,XCOPY. EXE 的 伴随 体 是 XCOPY. 
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COM。 病 毒 把 自身 写 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 ,伴随 体 优先 被 
执行 ,再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

(2) 蠕虫 型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 器 
的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 系 
统 中 存在 ,一 般 除 了 内 存 不 占用 其 他 资源 。 

(3) 寄生 型 病毒 : 依附 在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

(4) 练习 型 病毒 : 病毒 自身 包含 错误 ,不 能 进行 很 好 的 传播 ,例如 一 些 在 调试 阶段 的 
病毒 。 

(5) 诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 对 DOS 内 部 进行 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 
数据 区 进行 工作 。 

(6) 幽灵 病毒 : 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 次 都 具有 不 同 的 内 
容 和 长 度 。 它 们 一 般 由 一 段 混 有 无 关 指令 的 解码 算法 和 经 过 变化 的 病毒 体 组 成 。 


5. 按 病毒 的 攻击 目标 


根据 病毒 的 攻击 目标 ,计算 机 病毒 可 以 分 为 DOS 病毒 、Windows 病毒 和 其 他 系统 
病毒 。 

(1) DOS 病毒 : 指针 对 DOS 操作 系统 开发 的 病毒 。 目 前 几乎 没有 新 制作 的 DOS 病 
毒 ,由 于 Windows 9x 病毒 的 出 现 ,DOS 病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 9x 环境 
中 仍 可 以 进行 感染 活动 ,因此 若 执 行 染 毒 文件 ,Windows 9x 用 户 的 系统 也 会 被 感染 。 人 们 
使 用 的 杀毒 软件 能 够 查 杀 的 病毒 中 一 半 以 上 都 是 DOS 病毒 ,可 见 DOS 时 代 DOS 病毒 的 泛 
滥 程 度 。 但 这 些 众多 的 病毒 中 除了 少数 几 个 让 用 户 胆战心惊 的 病毒 之 外 ,大 部 分 病毒 都 只 
是 制作 者 出 于 好 奇 或 对 公开 代码 进行 一 定 变形 而 制作 的 病毒 。 

(2) Windows 病毒 : 主要 指针 对 Windows 9x 操作 系统 的 病毒 。 现 在 的 电脑 用 户 一 般 
都 安装 Windows 系统 , Windows 病毒 一 般 感染 Windows 9x 系统 ,其 中 最 典型 的 病毒 有 
CIH 病毒 。 但 这 并 不 意味 着 可 以 忽略 系统 是 Windows NT 系列 (包括 Windows 2000) 的 计 
算 机 。 一 些 Windows 病毒 不 仅 在 Windows 9x 上 正常 感染 ,还 可 以 感染 Windows NT 上 的 
其 他 文件 。 

(3) 其 他 系统 病毒 : 主要 攻击 Linux、UNIX 和 OS2 及 嵌入 式 系统 的 病毒 。 由 于 系统 本 
身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 。 


6. 按 计算 机 病毒 的 链接 方式 


由 于 计算 机 病毒 本 身 必须 有 一 个 攻击 对 象 才能 实现 对 计算 机 系统 的 攻击 ,并 且 计 算 机 
病毒 所 攻击 的 对 象 是 计算 机 系统 可 执行 的 部 分 。 因 此 ,根据 链接 方式 计算 机 病毒 可 分 为 源 
码 型 病毒 .嵌入 型 病毒 .外 过 型 病毒 .操作 系统 型 病毒 。 

(1) 源码 型 病毒 : 该 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 前 
插入 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) 嵌入 型 病毒 : 这 种 病毒 是 将 自身 嵌入 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 其 
攻击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 也 较 难 消 
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除 。 如 果 同 时 采用 多 态 性 病毒 技术 .超级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 的 反 病 毒 技 
术 带 来 严峻 的 挑战 。 

(3) 外 壳 型 病毒 : 外 壳 型 病毒 将 其 自身 包围 在 主 程序 四 周 , 对 原来 的 程序 不 做 修改 。 
这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 ,一 般 测 试 文件 的 大 小 即 可 察觉 。 

(4) 操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 ,有 具 
有 很 强 的 破坏 力 , 可 以 导致 整个 系统 的 瘫痪 。 贺 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 
病毒 。 

这 种 病毒 在 运行 时 ,用 自己 的 逮 辑 部 分 取代 操作 系统 的 合法 程序 模块 ,根据 病毒 自身 的 
特点 和 被 替代 的 合法 程序 模块 在 操作 系统 中 运行 的 地 位 与 作用 ,以 及 病毒 取代 操作 系统 的 
取代 方式 等 ,对 操作 系统 进行 破坏 。 


(0,2 计算 机 病毒 的 原理 和 防范 


计算 机 病毒 的 基本 程序 结构 如 图 10-1 所 示 。 


传播 部 分 


表现 部 分 


图 10-1 计算 机 病毒 的 基本 程序 结构 


(1) 引导 部 分 : 把 病毒 程序 加 载 到 内 存 。 

功能 : 驻 留 内 存 、 修 改 中 断 、 修 改 高 端 内 存 、 保 存 原 中 断 向 量 。 

(2) 传染 部 分 : 把 病毒 代码 复制 到 传染 目标 上 。 

功能 : 条 件 判断 .与 主 程序 连接 .设置 标志 。 

(3) 表现 部 分 : 运行 .实施 破坏 。 

功能 : 条 件 判 断 . 显 示 、 文 件 读 写 。 

下 面 从 引导 区 计算 机 病毒 ,文件 型 计算 机 病毒 .脚本 型 计算 机 病毒 .特洛伊 木马 计算 机 
病毒 ,蠕虫 计算 机 病毒 进行 分 析 。 


1. 引导 区 计算 机 病毒 


系统 引导 区 是 在 系统 引导 的 时 候 , 进 入 系统 中 ,获得 对 系统 的 控制 权 , 在 完成 其 自身 的 
安装 后 才 去 引导 系统 的 。 称 其 为 引导 区 计算 机 病毒 是 因为 这 类 计算 机 病毒 一 般 都 是 侵占 系 
统 硬盘 的 主 引导 扇 区 1/O 分 区 的 引导 扇 区 ,对 于 软盘 则 侵占 了 软盘 的 引导 扇 区 。 

它 会 感染 在 该 系统 中 进行 读 写 操作 的 所 有 软盘 ,然后 再 由 这 些 软盘 以 复制 的 方式 和 引 
导 进 入 其 他 计算 机 系统 ,感染 其 他 计算 机 的 操作 系统 。 

检测 的 方法 包括 : 

(1) 查看 系统 内 存 的 总 量 与 正常 情况 进行 比较 。 

(2) 检查 系统 内 存 高 端的 内 容 。 

(3) 检查 系统 的 INT 13H 中 断 向 量 。 
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(4) 检查 硬盘 的 主 引 导 扇 区 .DOS 分 区 引导 扇 区 以 及 软盘 的 引导 扇 区 。 

清除 的 方法 为 : 

用 原来 正常 的 分 区 表 信 息 或 引导 扇 区 信息 ,覆盖 掉 计 算 机 病毒 程序 。 此 时 ,如 果 用 户 事 
先 提取 并 保存 了 自己 硬盘 中 分 区 表 的 信息 和 DOS 分 区 引导 扇 区 信息 ,那么 ,恢复 工作 变 得 
非常 简单 。 可 以 直接 用 Debug 将 这 两 种 引导 扇 区 的 内 容 分 别 调和 人 内存, 然后 分 别 回 它 的 原 
来 位 置 ,这 样 就 消除 了 计算 机 病毒 。 

2. 文件 型 计算 机 病毒 


文件 型 计算 机 病毒 程序 都 是 依附 在 系统 可 执行 文件 或 覆盖 文件 上 的 , 当 文件 装 和 人 系统 
执行 的 时 候 , 引 导 计 算 机 病毒 程序 也 进入 系统 中 。 只 有 极 少 计算 机 病毒 程序 感染 数据 文件 。 

此 类 病毒 感染 的 对 象 大 多 是 系统 的 可 执行 文件 ,也 有 一 些 还 要 对 覆盖 文件 进行 传染 ,而 
对 数据 进行 传染 的 则 少见 。 

清除 的 方法 为 : 

(1) 确定 计算 机 病毒 程序 的 位 置 ,是 驻 留 在 文件 尾部 还 是 在 文件 首部 。 

(2) 找到 计算 机 病毒 程序 首部 的 位 置 (对 应 于 文件 尾部 驻 留 方 式 ) ,或 者 尾部 位 置 ( 对 应 
于 文件 首部 驻 留 方式 ) 。 

(3) 恢复 原文 件 头 部 的 参数 。 

(4) 修改 文件 长 度 , 将 源 文件 写 回 。 


3. 脚本 型 计算 机 病毒 


主要 采用 脚本 语言 设计 的 病毒 称 为 脚本 病毒 。 实 际 上 在 早期 的 系统 中 ,计算 机 病毒 就 
已 经 开始 利用 脚本 进行 传播 和 破坏 ,不 过 专门 的 脚本 病毒 并 不 常见 。 但 是 在 脚本 应 用 无 所 
不 在 的 今天 ,脚本 病毒 却 成 为 危害 最 大 、 最 为 广泛 的 病毒 ,特别 是 当 它 和 一 些 传统 的 恶性 病 
毒 相 结合 时 ,其 危害 就 更 为 严重 了 。 

其 主要 有 两 种 类 型 , 纯 脚 本 型 和 混合 型 。 

它 的 特点 是 : 编写 简单 .破坏 力 大 ,感染 力 强 .传播 范围 大 (多 通过 E-mail, 局 域 网 共享 ， 
感染 网 页 文件 的 方式 传播 ) 、 计 算 机 病毒 源码 容易 被 获取 、 变 种 多 、 欺 骗 性 强 。 

清除 的 方法 为 : 

(1) 禁用 文件 系统 对 象 FileSystemObject。 

(2) 印 载 Windows Scripting Host。 

(3) 删除 vbs,vbe,js,jse 文件 后 缀 与 应 用 程序 映射 。 

(4) 在 Windows 目录 中 ,找到 WScript. exe, 更 改名 称 或 者 删除 。 

(5) 要 彻底 防止 vbs 网 络 蠕虫 病毒 ,还 需要 设置 一 下 浏览 器 。 

(6) 禁止 OF 的 自动 收发 电子 邮件 功能 。 

(7) 显示 所 有 文件 类 型 的 扩展 名 称 。 

(8) 将 系统 网 络 连 接 的 安全 级 别 至 少 设置 为 “中 等 ”。 


4. 特洛伊 木马 计算 机 病毒 
特洛伊 木马 也 叫 黑客 程序 或 后 门 病毒 ,是 指 经 常 在 正常 程序 中 的 一 段 具有 特殊 功能 的 
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程序 ,其 隐蔽 性 极 好 ,不 易 察 觉 , 是 一 种 极为 危险 的 网 络 攻击 手段 。 
第 一 代 : 伪装 性 病毒 ,第 二 代 : AIDS 型 木马 ,第 三 代 : 网 络 传播 性 木马 。 
检测 的 方法 包括 : 
(1) 检查 注册 表 ; 
(2) 检查 系统 配置 文件 。 
清除 的 方法 为 : 
(1) 备份 重要 数据 ; 
(2) 立即 关闭 电源 ; 
(3) 备份 木马 入 侵 现场 ; 
(4) 修复 木马 危害 。 


5. 蠕虫 计算 机 病毒 


蠕虫 是 一 种 通过 网 络 传播 的 恶性 计算 机 病毒 , 它 具 有 计算 机 病毒 的 一 些 共性 ,如 传播 
性 ,隐蔽 性 ,破坏 性 等 。 同 时 有 自己 的 一 些 特征 ,如 利用 文件 寄生 ,对 网 络 造 成 拒绝 服务 以 及 
和 黑客 技术 相 结 合 等 。 

简单 点 说 ,蠕虫 就 是 使 用 危害 的 代码 来 攻击 网 络 上 的 受害 主机 ,并 在 受害 主机 上 自我 复 
制 ,再 攻击 其 他 受害 主机 的 计算 机 病毒 。 

其 特征 是 : 自我 繁殖 、 利 用 软件 漏洞 .造成 网 络 拥堵 、 消 耗 系统 资源 、 留 下 安全 隐患 。 

清除 的 方法 为 : 

(1) 与 防火 墙 互 动 ; 

(2) 交换 机 联动 ; 

(3) 通知 HIDS( 基 于 主机 的 入侵 检测 ) 。 


(i0,3 计算 机 木马 概述 


10.3.1 木马 的 特性 


木马 的 全 称 是 “特洛伊 木马 ”, 是 一 种 新 型 的 计算 机 网 络 病毒 程序 ,是 一 种 基于 远程 控制 
的 黑客 工具 , 它 利用 自身 具有 的 植 入 功能 ,或 依附 具有 传播 功能 的 病毒 ,进驻 目标 机 器 监听 、 
修改 、 窃 取 文 件 。 木 马 有 以 下 6 个 基本 特征 。 

1. 隐蔽 性 是 其 首要 的 特征 


当 用 户 执行 正常 程序 时 ,在 难以 察觉 的 情况 下 ,完成 危害 安全 的 操作 ,具有 隐蔽 性 。 它 
的 隐蔽 性 主要 体现 在 6 个 方面 : 不 产生 图 标 、@ 文 件 隐 藏 . 昌 在 专用 文件 夹 中 隐藏 .@ 自 
动 在 任务 管理 器 中 隐形 、 回 无声 无 息 地 启动 `@ 伪 装 成 驱动 程序 及 动态 链接 库 。 

2. 具有 自动 运行 性 


它 是 一 个 当 系 统 启动 时 即 自动 运行 的 程序 ,所 以 它 必 需 潜入 启动 配置 文件 中 ,如 win. 
ini\system. ini、winstart. bat 以 及 启动 组 等 文件 之 中 。 
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3. 木马 程序 具有 欺骗 性 


木马 程序 要 达到 其 长 期 隐蔽 的 目的 ,就 必须 借助 系统 中 已 有 的 文件 ,以 防 被 发 现 , 它 经 
常 使 用 的 是 常见 的 文件 名 或 扩展 名 ,如 dll\win\sys\explorer 等 字样 ,或 者 仿制 一 些 不 易 被 
人 区 分 的 文件 名 ,如 字母 1 与 数字 1、 字 母 o 与 数字 0, 常 修改 基本 文件 中 的 这 些 难以 分 辨 的 
字符 ,更 有 其 者 干脆 借用 系统 文件 中 已 有 的 文件 名 ,只 不 过 保存 在 不 同 路 径 之 中 。 还 有 的 木 
马 程 序 为 了 隐藏 自己 ,也 常 把 自己 设置 成 一 个 ZIP 文件 式 图 标 , 当 用 户 一 不 小 心 打开 它 时 ， 
它 就 马上 运行 等 手段 。 那 些 编制 木马 程序 的 人 还 在 不 断 地 研究 发掘 新 的 木马 ,总 之 是 越 来 
越 隐 项 , 越 来 越 专业 ,所 以 有 人 称 木 马 程序 为 “骗子 程序 ”。 


4. 具备 自动 恢复 功能 


现在 很 多 木马 程序 中 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 的 ,而 是 具有 多 重 备份 ,可 
以 相互 恢复 。 


5. 能 自动 打开 端口 

借助 服务 器 客户 端的 通信 手段 ,利用 TCP/IP 协议 不 常用 的 端口 自动 进行 连接 , 开 方 便 
A 

6. 功能 的 特殊 性 


通常 的 木马 功能 都 是 十 分 特殊 的 ,除了 普通 的 文件 操作 以 外 ,还 有 些 木马 具有 搜索 
cache 中 的 口令 .设置 口令 .扫描 目标 机 器 人 的 IP 地 址 、 进 行 键盘 记录 远程 注册 表 的 操作 ， 
以 及 锁定 鼠标 等 功能 ,上 面 所 讲 的 远程 控制 软件 的 功能 当然 不 会 有 ,毕竟 远程 控制 软件 是 用 
来 控制 远程 机 器 ,方便 自己 操作 而 已 ,而 不 是 用 来 黑 对 方 的 机 器 的 。 

木马 的 传播 途径 有 : 

(1) 利用 操作 系统 和 浏览 器 漏洞 传播 。 

(2) 利用 移动 存储 设备 (U 盘 ) 等 来 传播 。 

(3) 利用 第 三 方 软件 (如 Realplayer, 迅 雷 , 暴 风 影 音 等 ) 漏 洞 传播 。 

(4) 利用 ARP 欺骗 方式 来 传播 。 

(5) 利用 电子 邮件 .QQ、MSN 等 通信 软件 传播 。 

(6) 利用 网 页 挂 马 ,嵌入 恶意 代码 来 传播 。 

木马 病毒 的 危害 有 : 

(1) 利用 通信 软件 盗 取 用 户 的 个 人 信息 。 黑 客 可 以 利用 木马 病毒 盗 取 用 户 的 如 QQ、 
MSN 等 账号 以 盗 取 用 户 好 友 的 个 人 信息 等 。 

(2) 盗 取 网 游 账号 ,威胁 虚拟 财产 安全 。 黑 客 利用 木马 病毒 盗 取 用 户 游 戏 账户 密码 ,并 
将 用 户 游戏 中 的 装备 或 游戏 币 转移 ,造成 损失 。 

(3) 盗 取 用 户 的 网 银 信息 ,威胁 财产 安全 。 黑 客 利 用 木马 ,采用 键盘 记录 等 方法 盗 取 用 
户 的 个 人 银行 信息 ,直接 导致 用 户 的 经 济 损失 。 

(4) 给 电脑 打开 后 门 ,使 电脑 可 能 被 黑客 控制 。 目 前 ,木马 病毒 结合 了 传统 病毒 的 破坏 
性 ,产生 了 更 有 危害 性 的 混合 型 木马 病毒 。 有 关 报 告 显 示 : 木马 病毒 占 总 病毒 数 的 60% 以 
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上 。 其 中 ,盗号 木马 占 总 木马 数 的 70% 以 上 。 从 数据 上 可 以 看 出 ,木马 数量 的 成 倍增 长 , 变 
种 层出不穷 ,使 得 计算 机 用 户 的 处 境 更 加 危险 。 

计算 机 世界 的 特洛伊 木马 (Trojan) 是 指 隐藏 在 正常 程序 中 的 一 段 具有 特殊 功能 的 恶意 
代码 ,是 具备 破坏 和 删除 文件 ,发送 密码 .记录 键盘 和 攻击 DoS 等 特殊 功能 的 后 门 程序 。 

1) 第 一 代 木 马 : 伪装 型 病毒 

这 种 病毒 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 。 世 界 上 第 一 个 计算 机 木马 是 出 现 
在 1986 年 的 PC-Write 木马 。 它 伪装 成 共享 软件 PC-Write 的 2. 72 版 本 (事实 上 ,编写 PC- 
Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 本 ) ,一 旦 用 户 信 以 为 真 运行 该 木马 程序 ,那么 
他 的 下 场 就 是 硬盘 被 格式 化 。 在 笔者 刚刚 上 大 学 的 时 候 , 曾 听 说 本 校 一 个 前 辈 牛 人 在 
WAX 机 房 上 用 BASIC 做 了 一 个 登录 界面 木马 程序 , 当 把 用 户 ID、 密 码 输 入 一 个 和 正常 的 
登录 界面 一 模 一 样 的 伪 登 录 界 面 后 ,木马 程序 一 边 保 存 该 ID 和 密码 ,一 边 提 示 密 码 错 误 让 
用 户 重新 输入 , 当 用 户 第 二 次 登录 时 ,已 成 了 木马 的 牺牲 品 。 此 时 的 第 一 代 木 马 还 不 具备 传 
染 特 征 。 

2) 第 二 代 木 马 : AIDS 型 木马 

继 PC-Write 之 后 ,1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ,所 以 
AIDS 的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 : 给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 
的 邮件 。 之 所 以 叫 这 个 名 称 是 因为 软盘 中 含有 AIDS 和 HIV 疾病 的 药品 、 价 格 、 预 防 措施 
等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ,虽然 不 会 破坏 数据 ,但 是 它 将 硬盘 加 密 锁 死 , 然 
后 提示 受 感染 用 户 花 钱 消 灾 。 可 以 说 第 二 代 木 马 已 具备 了 传播 特征 (尽管 通过 传统 的 邮递 
方式 )。 

3) 第 三 代 木 马 : 网 络 传播 性 木马 

随 着 Internet 的 普及 ,这 一 代 木 马 兼备 伪装 和 传播 两 种 特征 并 结合 TCP/IP 网 络 技术 
四 处 泛滥 。 同 时 还 有 了 三 个 新 特征 ,第 一 ,添加 了 “后 门 ”功能 ; 第 二 ,添加 了 按键 记录 功能 ; 
第 三 ,有 了 视频 监控 和 桌面 监控 等 功能 。 

木马 的 种 类 可 以 划分 成 破坏 型 .密码 发 送 型 .远程 访问 型 .键盘 记录 木马 .DoS 攻击 木 
马 、 代 理 木马 .FTP 木马 ,以 及 反弹 端口 型 木马 ,如 表 10-1 所 示 。 


表 10-1 木马 种 类 


种 类 特 性 传播 途径 


叭 一 的 功能 就 是 破坏 并 且 吊 除 文件 ,可 以 自动 
删除 电脑 上 的 DLL.INI.EXE 文 件 人 


向 密码 输入 窗口 发 送 WM_SETTEXT 消息 模 
拟 输入 密码 ,向 按钮 窗口 发 送 WM _ | 可 以 找到 隐藏 密码 并 把 它们 发 送 到 
COMMAND 消息 模拟 单 击 。 在 破解 过 程 中 ，| 指定 的 信箱 。 也 有 些 黑客 软件 长 期 
把 密码 保存 在 一 个 文件 中 ,以 便 在 下 一 个 序列 | 潜伏 ,记录 操作 者 的 键盘 操作 ,从 中 
的 密码 再 次 进行 穷 举 或 多 部 机 器 同时 进行 分 | 寻找 有 用 的 密码 

工 穷 举 ,直到 找到 密码 为 止 


密码 发 送 型 


最 广泛 的 是 特洛伊 马 ,只 要 有 人 运行 了 服务 端 
远程 访问 型 程序 ,如 果 客户 知道 了 服务 端的 IP 地 址 ,就 可 
以 实现 远程 控制 


通过 控制 Internet 的 UDP 进行 
传播 
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续 表 


种 类 


特 性 


传播 途径 


键盘 记录 木马 


这 种 特洛伊 木马 是 非常 简单 的 。 它 们 只 做 一 
件 事情 ,就 是 记录 受害 者 的 按键 情况 并 且 在 
LOG 文件 里 查找 密码 


潜伏 在 计算 机 硬盘 中 ,通过 记录 使 
用 者 的 键盘 操作 进行 传播 


DoS 攻击 木马 


随 着 DoS 攻击 越 来 越 广 泛 地 应 用 ,被 用 作 DoS 
攻击 的 木马 也 越 来 越 流 行 。 当 你 人 侵 了 一 台 
机 器 ,给 他 种 上 DoS 攻击 木马 ,你 控制 的 机 器 
(“肉鸡 ”) 数 量 越 多 ,发 动 DoS 攻击 取得 成 功 的 
机 率 就 越 大 。 


通过 邮件 传播 ,一 旦 机 器 被 感染 , 木 
马 就 会 随机 生成 各 种 各 样 主题 的 信 
件 , 对 特定 的 邮箱 不 停 地 发 送 邮 件 ， 
一 直到 对 方 竣 疾 不 能 接收 邮件 
为 止 


代理 木马 


“代理 木马 "具有 自动 下 载 木马 病毒 的 功能 ,一 
旦 感染 系统 后 , 当 系 统 接 入 互联 网 ,再 从 指定 
的 网 址 下 载 其 他 木马 \ 病 毒 等 恶意 软件 


它们 可 以 根据 病毒 编者 指定 的 网 址 
下 载 木 马 病 毒 或 其 他 恶意 软件 ,还 
可 以 通过 网 络 和 移动 存储 介质 传播 


FTP 木马 


这 种 木马 可 能 是 最 简单 和 古老 的 木马 了 , 它 的 
唯一 功能 就 是 打开 21 端口 ,等 待 用 户 连接 


控制 用 户 的 21 端口 使 其 运行 某 一 
指定 的 命令 


反弹 端口 型 木马 


10.3.2 


木马 定时 监测 控制 端的 存在 ,发 现 控 制 端 上 线 
立即 弹出 端口 主动 连接 控制 端 打 开 的 主动 端 
口 ; 即使 用 户 使 用 扫描 软件 检查 自己 的 端口 ， 
发 现 类 似 TCP 的 情况 


计算 机 木马 的 原理 


通过 控制 计算 机 防火 墙 端口 进行 
传播 


木马 病毒 通常 包括 两 个 部 分 : 服务 器 和 客户 端 。 服务 端 植 入 危害 主机 ,而 施 种 者 利用 
客户 端 侵 入 运行 了 服务 端的 主机 。 木 马 的 服务 端 一 旦 启动 ,受害 主机 的 一 个 或 几 个 端口 即 
对 施 种 者 敞开 ,使 得 攻击 者 可 以 利用 这 些 端 口 对 受害 主机 执行 人 侵 操作 。 

基本 的 木马 植 人 过 程 包括 : 


1. 配置 ,传播 木马 


一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 


现 伪装 和 信息 反馈 两 方面 的 功能 。 

木马 的 传播 方式 主要 有 两 种 :一 种 是 通过 E-mail, 控制 端 将 木马 程序 以 附件 的 形式 夹 在 
邮件 中 发 送出 去 , 收 信人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 下 载 ,一 些 非 正规 
的 网 站 以 提供 软件 下 载 为 名 ,将 木马 捆绑 在 软件 安装 程序 上 ,下 载 后 ,只 要 一 运行 这 些 程序 ， 
木马 就 会 自动 安装 。 


2. 运行 木马 


服务 端 用 户 运行 木马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 拷贝 
到 Windows 的 系统 文件 夹 中 (C:\Windows 或 C:\Windows\System 目录 下 ) ,然后 在 注册 
表 、 启 动 组 , 非 启动 组 中 设置 好 木马 的 触发 条 件 ,这 样 木马 的 安装 就 完成 了 。 

木马 被 激活 后 ,进入 内 存 , 并 开启 事先 定义 的 木马 端口 ,准备 与 控制 端 建立 连接 。 这 时 
服务 端 用 户 可 以 在 MS-DOS 方式 下 ,输入 NETSTAT -AN 查看 端口 状态 ,一般 个 人 电脑 在 
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脱 机 状态 下 是 不 会 有 端口 开放 的 ,如 果 有 端口 开放 ,就 要 注意 是 否 感染 木马 了 。 
3. 信息 反馈 


木马 配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 邮件 地 址 .IRC 
导 ,IEO 号 等 。 


4. 建立 连接 


一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 ,服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建立 连接 。 值 得 一 
提 的 是 ,要 扫描 整个 IP 地 址 段 显然 费时 费力 ,一 般 来 说 控制 端 都 是 先 通 过 信息 反馈 获得 服 
务 端的 IP 地 址 ,由 于 拨号 上 网 的 IP 是 动态 的 , 即 用 户 每 次 上 网 的 IP 都 是 不 同 的 。 


5. 远程 控制 


木马 连接 建立 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 ,控制 端 上 的 控制 端 程 
序 可 利用 这 条 通道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 
控制 。 


6. 木马 病毒 的 传播 及 植 入 


由 于 木马 病毒 是 一 种 非 自 我 复制 的 恶意 代码 ,因此 它 需 要 依靠 用 户 向 其 他 人 发 送 其 找 
贝 。 木 马 病毒 可 以 作为 电子 邮件 附件 或 者 隐藏 在 用 户 与 其 他 用 户 进行 交互 的 文档 或 者 其 他 
文件 中 。 它 们 还 可 以 被 其 他 恶意 代码 所 携带 ,如 蠕虫 。 木 马 病毒 有 时 也 会 隐藏 在 从 互联 网 
上 下 载 的 捆绑 软件 中 。 当 用 户 安装 此 软件 时 ,病毒 就 会 在 后 台 秘 密 安装 。 木 马 植 人 技术 主 
要 是 指 木马 病毒 利用 各 自 的 途径 进入 目标 机 器 的 具体 方法 。 


7. 木马 病毒 植 入 技术 


木马 病毒 植 人 技术 ,主要 是 指 木马 病毒 利用 各 种 途径 进入 目标 机 器 的 具体 实现 方法 。 

(1) 利用 电子 邮件 进行 传播 : 攻击 者 将 木马 程序 伪装 成 E-mail 附件 的 形式 发 送 过 去 ， 
收 信 方 只 要 查看 邮件 附件 就 会 使 木马 程序 得 到 运行 并 安装 进入 系统 。 

(2) 利用 网 络 下 载 进行 传播 : 一 些 非 正规 的 网 站 以 提供 软件 下 载 为 名 ,将 木马 捆绑 在 
软件 安装 程序 上 ,下 载 后 ,只 要 运行 这 些 程序 ,木马 就 会 自动 安装 。 

(3) 利用 网 页 浏览 传播 : 这 种 方法 利用 Java Applet 编写 出 一 个 HTML 网 页 , 当 用 户 
浏览 该 页 面 时 ,JavaApplet 会 在 后 台 将 木马 程序 下 载 到 计算 机 缓存 中 ,然后 修改 注册 表 , 使 
指向 木马 程序 。 

(4) 利用 一 些 漏洞 进行 传播 : 如 微软 著名 的 IIS 服务 器 溢出 漏洞 ,通过 一 个 IS HACK 
攻击 程序 即 可 使 IIS 服务 器 崩溃 ,并 且 同 时 在 受 控 服 务 器 执行 木马 程序 。 由 于 微软 的 浏览 
器 在 执行 Script 脚本 上 存在 一 些 漏洞 ,攻击 者 可 以 利用 这 些 漏洞 传播 病毒 和 木马 ,甚至 直接 
对 浏览 者 主机 进行 文件 操作 等 控制 。 

(5) 远程 人 侵 进行 传播 : 黑客 通过 破解 密码 和 建立 IPC 远程 连接 后 登录 到 目标 主机 ， 
将 木马 服务 端 程序 拷贝 到 计算 机 中 的 文件 夹 (一 般 在 C:\Windows\system32 或 者 C:\ 
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WINNT\sys-tem32) 中 ,然后 通过 远程 操作 让 木马 程序 在 某 一 个 时 间 运 行 。 

(6) 基于 DLL 和 远程 线程 插入 的 木马 植 和 人 : 这 种 传播 技术 是 以 DLL 的 形式 实现 木马 
程序 ,然后 在 目标 主机 中 选择 特定 目标 进程 (如 系统 文件 或 某 个 正常 运行 的 程序 ) ,由 该 进程 
将 木马 DLL 植 和 本 系统 中 的 。 

(7) 利用 蠕虫 病毒 传播 木马 : 网 络 蠕虫 病毒 具有 很 强 的 传染 性 和 自我 复制 能 力 , 将 森 
马 和 蠕虫 病毒 结合 在 一 起 就 可 以 大 大 地 提高 木马 的 传播 能 力 。 结 合 了 蠕虫 病毒 的 木马 利用 
病毒 的 特性 ,在 网 络 上 进行 传播 .复制 ,这 就 加 快 了 木马 的 传播 速度 。 

当 木 马 病毒 成 功 植 人 目标 机 后 ,就 必须 确保 自己 可 以 通过 某 种 方式 得 到 自动 运行 。 常 
见 的 木马 病毒 加 载 技术 主要 包括 系统 启动 自动 加 载 . 文 件 关联 和 文件 劫持 等 。 

系统 启动 自动 加 载 ,是 最 常见 的 木马 自动 加 载 方法 。 木 马 病毒 通过 将 自己 复制 到 启动 
组 ,或 在 win. ini,system. ini 和 注册 表 中 添加 相应 的 启动 信息 而 实现 系统 启动 时 自动 加 载 。 
这 种 加 载 方式 简单 有 效 , 但 隐蔽 性 差 。 目 前 很 多 反 木 马 软件 都 会 扫描 注册 表 的 启动 键 ( 信 
息 ) ,故而 新 一 代 木 马 病毒 都 采用 了 更 加 隐 项 的 加 载 方式 。 

文件 劫持 ,是 一 种 特殊 的 木马 加 载 方式 。 木 马 病毒 被 植 和 目标 机 后 ,需要 首先 对 某 个 系 
统 文件 进行 蔡 换 或 髋 入 操作 ,使 得 该 系统 文件 在 获得 访问 权 之 前 ,木马 病毒 被 率先 执行 , 然 
后 再 将 控制 权 交还 给 相应 的 系统 文件 。 采 用 这 种 方式 加 载 木马 不 需要 修改 注册 表 , 从 而 可 
以 有 效 地 躲 过 注册 表 扫描 型 反 木 马 软件 的 查 杀 。 这 种 方式 最 简单 的 实现 方法 是 将 某 系统 文 
件 改名 ,然后 将 木马 程序 改名 。 这 样 当 这 个 系统 文件 被 调用 的 时 候 , 实 际 上 是 木马 程序 被 运 
行 ,而 木马 启动 后 ,再 调用 相应 的 系统 文件 并 传递 原 参 数 。 

木马 的 防范 可 以 从 下 面 几 个 方面 着 手 : 

(1) 不 随意 打开 来 历 不 明 的 邮件 ,阻塞 可 疑 邮 件 。 

(2) 不 随意 下 载 来 历 不 明 的 软件 。 

(3) 及 时 修补 漏洞 和 关闭 可 疑 的 端口 。 

(4) 尽量 少 用 共享 文件 夹 。 

(5) 运行 实时 监控 系统 。 

(6) 经 常 升级 系统 和 更 新 杀毒 软件 。 

(7) 限制 不 必要 的 具有 传输 能 力 的 文件 。 

(8) 关闭 不 常 使 用 的 端口 。 


习题 


. 什么 是 计算 机 病毒 ? 

. 计算 机 病毒 的 类 型 有 哪些 ? 
. 计算 机 病毒 有 什么 危害 ? 
. 计算 机 木马 的 威胁 有 哪些 ? 
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人 1 入 侵 检测 概述 


1980 年 ,詹姆斯 . 安德森 (James P. Anderson) 第 一 次 系统 阐述 了 入 侵 检 测 的 概念 ,并 
将 入 侵 行 为 分 为 外 部 渗透 、 内 部 渗透 和 不 法 行为 三 种 ,还 提出 了 利用 审计 数据 监视 入 侵 活动 
的 思想 。 

Anderson 将 入 侵 尝试 或 威胁 定义 为 : 潜在 的 .有 预谋 的 、 未 经 授权 的 访问 信息 ,操作 信 
息 .致使 系统 不 可 靠 或 无 法 使 用 的 企图 。 而 人 侵 检测 的 定义 为 : 发 现 非 授权 使 用 计算 机 的 
个 体 ( 如 * 黑 客 ”) 或 计算 机 系统 的 合法 用 户 滥用 其 访问 系统 的 权利 以 及 企图 实施 上 述 行为 的 
个 体 。 执 行人 侵 检 测 任务 的 程序 即 入 侵 检 测 系统 。 入 侵 检测 系统 也 可 以 定义 为 : 检测 企图 
破坏 计算 机 资源 的 完整 性 ,真实 性 和 可 用 性 行为 的 软件 。 

入 侵 检测 系统 执行 的 主要 任务 包括 : 监视 .分 析 用 户 及 系统 活动 ; 审计 系统 构造 和 弱 
点 ; 识别 、 反 映 已 知 进攻 的 活动 模式 ,向 相关 人 士 报警 ; 统计 分 析 异 常 行为 模式 ; 评估 重要 
系统 和 数据 文件 的 完整 性 ; 审计 、 跟 踪 管理 操作 系统 ,识别 用 户 违反 安全 策略 的 行为 。 入 侵 
检测 一 般 分 为 三 个 步骤 : 信息 收集 、 数 据 分 析 、 响 应 。 

入 侵 检测 的 目的 : 识别 入 侵 者 ; @ 识 别人 侵 行为 ; @ 检 测 和 监视 已 实施 的 入侵 行为 ; 
@ 为 对 抗 人 侵 提 供 信息 ,阻止 入 侵 的 发 生 和 事态 的 扩大 。 


(fn 入 侵 检测 的 系统 结构 和 分 类 


11.2.1 入 侵 检 测 的 系统 结构 


入 侵 检 测 系 统 的 基本 结构 构成 公共 入 侵 检 测 框架 (Common Intrusion Detection 
Frame,CIDF) 提 出 了 通用 模型 ,将 入 侵 检测 系统 分 为 4 个 基本 组 件 : 事件 产生 器 .事件 分 析 
器 、 响 应 单元 和 事件 数据 库 , 如 图 11-1 所 示 。 


1. 事件 产生 器 


事件 产生 器 (Event Generators) 是 入 侵 检 测 系 统 中 负责 原始 数据 采集 的 部 分 , 它 对 数 
据 流 .日志 文件 等 进行 追踪 ,然后 将 收集 到 的 原始 数据 转换 为 事件 ,并 向 系统 的 其 他 部 分 提 
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响应 单元 | 输出 :反应 或 事件 


] 
输出 :高 级 中 级 事件 输出 :事件 的 有 关 信 息 


事件 分 析 器 
[] 


输出 :原始 或 低级 事件 


事件 产生 器 


输入 :原始 事件 源 
图 11-1 入 侵 检 测 的 体系 结构 
供 此 事件 。 
2. 事件 分 析 器 


事件 分 析 器 (Event Analyzers) 接收 事件 信息 ,然后 对 它们 进行 分 析 , 判 断 是 不 是 入 侵 
行为 或 异常 现象 ,最 后 把 判断 的 结果 转换 为 警告 信息 。 


3. 事件 数据 库 
事件 数据 库 (Response Units) 是 存放 各 种 中 间 和 最 终 数 据 的 地 方 。 
4. 响应 单元 


响应 单元 (Response Units) 根 据 警 告 信息 做 出 反应 ,如 切断 连接 ,改变 文本 属性 等 强烈 
的 反应 ,也 可 能 是 简单 地 报警 。 它 是 入 侵 检测 系统 中 的 主动 武器 。 

11.2.2 入 侵 检 测 的 分 类 

通过 对 现 有 的 人 侵 检 测 系统 和 入 侵 检测 技术 的 研究 ,可 以 从 以 下 几 个 方面 对 入 侵 检测 
系统 进行 分 类 。 

1. 根据 目标 系统 类 型 的 不 同 划分 

(1) 基于 主机 (host-based) 的 入 侵 检 测 系统 。 通 常 ,基于 主机 的 入 侵 检 测 系统 可 以 检测 
系统 、 事 件 和 操作 系统 下 的 安全 记录 以 及 系统 记录 。 当 文件 发 生变 化 时 ,入 侵 检 测 系 统 将 新 
的 记录 条 目 与 攻击 标记 相 比 较 , 看 它们 是 否 匹 配 。 如 果 匹 配 ,系统 就 会 向 管理 员 报警 ,以 采 
取 措 施 。 基 于 主机 的 入 侵 检测 系统 如 图 11-2 所 示 。 

(2) 基于 网 络 (network-based) 的 入侵 检测 系统 基于 网 络 的 入 侵 检 测 系统 使 用 原始 网 
络 数 据 包 作为 数据 源 。 它 通常 利用 一 个 运行 在 混杂 模式 下 的 网 络 适配器 来 实时 监视 并 分 析 
网 络 的 所 有 通信 业务 。 基 于 网 络 的 入 侵 检 测 系统 的 基本 结构 如 图 11-3 所 示 。 


2. 根据 入 侵 检 测 分 析 方 法 的 不 同 划分 
(1) 误 用 入 侵 检 测 ( 特 征 检测 signature-based) 。 误 用 检测 是 基于 已 知 的 系统 缺陷 和 和 人 
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基于 主机 的 入侵 检测 系统 


市 计数 所 证 于 到 审计 到 及 人 
收集 器 | 和 | “| 过 江 顺 | 下 “| 分 析 器 | | 人 安全 管理 员 
1 
1 


1 | 
1 1 
| | | 
原始 审计 数据 相关 审计 数据 检测 结果 


图 11-2 ”基于 主机 的 人 侵 检测 系统 的 基本 结构 


入 侵 事 件 检测 模块 人 二 了 J 规则 解析 模块 
2 


告警 凶 取 模块 网 络 协议 分 析 模块 
re KP 存 取 模块 办 议 分 析 和 


数据 包 捕获 模块 
2TA 


攻击 特征 库 


以 太 网 
= = 


图 11-3 基于 网 络 的 人 侵 检测 系统 的 基本 结构 


侵 模 式 , 所 以 又 称 为 特征 检测 。 误 用 检测 是 对 不 正常 的 行为 建 模 ,这 些 不 正常 的 行为 是 被 记 
录 下 来 的 确认 的 误 用 和 攻击 。 通 过 对 系统 活动 的 分 析 , 发 现 与 被 定义 好 的 攻击 特征 相 匹配 
的 事件 或 事件 集合 。 该 检测 方法 可 以 有 效 地 检测 到 已 知 攻击 ,检测 精度 高 , 误 报 少 。 但 需要 
不 断 更 新 攻击 的 特征 库 , 系 统 灵 活性 和 自 适应 性 较 差 , 漏 报 较 多 。 商 用 IDS 多 采用 该 种 检 
测 方法 。 

(2) 异常 人 侵 检 测 (anomaly-based)。 异 常 检 测 是 指 能 根据 异常 行为 和 使 用 计算 机 资 
源 的 情况 检测 出 入 侵 的 方法 。 它 试图 用 定量 的 方式 描述 可 以 接受 的 行为 特征 ,以 区 分 非 正 
常 的 、 潜 在 的 入 侵 行为 。 也 就 是 ,异常 检测 是 对 用 户 的 正常 行为 建 模 ,通过 正常 行为 与 用 户 
的 行为 进行 比较 ,如 果 二 者 的 偏差 超过 了 规定 阅 值 则 认为 该 用 户 的 行为 是 异常 的 。 异 常 检 
测 的 误 报 较 多 。 目 前 ,大 多 数 异常 检测 技术 还 处 于 研究 阶段 ,基本 没有 用 于 商业 IDS 中 。 


3. 根据 检测 系统 各 个 模块 运行 分 布 方 式 的 不 同 划 分 


(1) 集中 式 入 侵 检 测 系统 。 集 中 式 IDS 有 多 个 分 布 在 不 同 主机 上 的 审计 程序 , 仅 有 一 
个 中 央 入 侵 检测 服务 器 。 审 计 程 序 将 当地 收集 到 的 数据 踪迹 发 送 给 中 央 服务 器 进行 分 析 处 
理 。 随 着 服务 器 所 承载 的 主机 数量 的 增多 ,中 央 服 务 器 进行 分 析 处 理 的 数量 就 会 猛 增 ,而 且 
一 旦 服务 器 遭受 攻击 ,整个 系统 就 会 月 溃 。 

(2) 分 布 式 ( 协 作 式 ) 入 侵 检 测 系统 。 分 布 式 IDS 是 将 中 央 检 测 服务 器 的 任务 分 配给 多 
个 基于 主机 的 IDS, 这 些 IDS 不 分 等 级 ,各 司 其 职 , 负 责 监控 当地 主机 的 某 些 活动 。 所 以 ,其 
可 伸缩 性 、 安 全 性 都 得 到 了 显著 的 提高 ,并 且 与 集中 式 IDS 相 比 ,分 布 式 IDS 对 基于 网 络 的 
共享 数据 量 的 要 求 较 低 。 但 维护 成 本 却 提 高 了 很 多 ,并 且 增加 了 所 监控 主机 的 工作 负荷 ,如 
通信 机 制 . 审 计 开 销 、 踪 迹 分 析 等 。 
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4. 根据 入 侵 检测 系统 分 析 的 数据 来 源 不 同 划分 


根据 入 侵 检 测 系统 分 析 的 数据 来 源 分 为 主机 系统 日 志 、 原 始 的 网 络 数据 包 、 应 用 程序 的 
日 志 、 防 火 墙报 警 日 志 以 及 其 他 人 侵 检测 系统 的 报警 信息 等 。 据 此 可 将 和 人 侵 检测 系统 分 为 
基于 不 同 分 析 数 据 源 的 和 人 侵 检测 系统 。 


5. 根据 系统 对 入 侵 攻 击 的 响应 方式 分 类 


(1) 主动 的 入 侵 检 测 系统 系统 。 在 检测 出 入 侵 后 ,可 自动 地 对 目标 系统 中 的 漏洞 采取 
修补 强制 可 疑 用 户 (可 能 的 入 侵 者 ) 退 出 以 及 关闭 相关 服务 等 对 策 和 相应 措施 。 

(2) 被 动 的 入侵 检测 系统 。 检 测 出 对 系统 的 入 侵 攻击 后 只 是 产生 报警 信息 通知 系统 安 
全 管理 员 ,至 于 之 后 的 处 理工 作 则 由 系统 管理 员 来 完成 。 


(fa 入 侵 检测 的 功能 


入 侵 检测 系统 的 主要 功能 为 : 

(1) 监视 并 分 析 用 户 和 系统 的 行为 ; 

(2) 审计 系统 配置 和 漏洞 ; 

(3) 评估 敏感 系统 和 数据 的 完整 性 ; 

(4) 识别 攻击 行为 ,对 异常 行为 进行 统计 ; 
(5) 自动 收集 与 系统 相关 的 补丁 ; 

(6) 审计 、 识 别 . 跟 踪 违 反 安 全 法 规 的 行为 
(7) 使 用 诱骗 服务 器 记录 黑客 行为 。 


11.3.1 入 侵 检 测 系 统 的 功能 结构 


入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 来 自 外 部 或 内 部 的 攻击 ,扩展 了 系统 管理 员 
的 安全 管理 能 力 ( 如 安全 审计 ,监视 ,攻击 识别 及 其 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 

入 侵 检测 系统 的 主要 工作 就 是 从 信息 系统 的 若干 关键 点 上 收集 信息 ,然后 分 析 这 些 信 
息 , 用 来 获悉 网 络 中 有 无 违反 安全 策略 的 行为 和 但 到 袭击 的 迹象 。 

无 论 对 于 什么 类 型 的 入侵 检测 系统 ,其 工作 模式 都 可 以 体现 为 以 下 步骤 ,如 图 11-4 
所 示 。 


数 数 结 
数据 _| 据 数据 .| 所 事件 | 果 结果 
收 分 处 
集 析 理 
图 11-4 工作 模式 


一 个 典型 的 入 侵 检 测 系 统 从 功能 上 可 以 分 为 三 个 组 成 部 分 : 感应 器 (Sensor) 、 分 析 器 
(Analyzer) 和 管理 器 (Menager) 。 
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1. 感应 器 


感应 器 负责 收集 信息 。 

(1) 收集 的 数据 内 容 。 主 机 和 网 络 日 志文 件 ; 目录 和 文件 中 不 期 望 的 改变 ; 程序 执行 
中 的 不 期 望 行为 ; 物理 形式 的 入 侵 信 息 。 

(2) 入侵 检测 系统 的 数据 收集 机 制 。 基 于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 ; 分 
布 式 与 集中 式 数 据 收集 机 制 ; 直接 监控 和 间接 监控 ; 外 部 探测 器 和 内 部 探测 器 。 


2. 分 析 器 


分 析 器 从 许多 感应 器 接收 信息 ,并 对 这 些 信 息 进 行 分 析 以 决定 是 否 有 入 侵 行为 发 生 , 就 
是 对 从 数据 源 提供 的 系统 运行 状态 和 活动 记录 进行 同步 整理 ,组 织 、 分 类 以 及 各 种 类 型 的 
细致 分 析 ,提取 其 中 包含 的 系统 活动 特征 或 模式 ,用 于 对 正常 和 异常 行为 的 判断 。 


3. 管理 器 

管理 器 通常 也 被 称 为 用 户 控制 台 , 它 以 一 种 可 视 的 方式 向 用 户 提供 收集 到 的 各 种 数据 
及 相应 的 分 析 结 果 , 用 户 可 以 通过 管理 器 对 入 侵 检 测 系统 进行 配置 , 设 定 各 种 系统 的 参数 
从 而 对 入 侵 行为 进行 检测 以 及 相应 的 措施 进行 管理 。 

一 个 好 的 IDS 应 该 让 用 户 能 够 裁剪 定制 其 响应 机 制 , 以 符合 特定 的 需求 环境 。 

(1) 主动 响应 。 系 统 自动 或 以 用 户 设置 的 方式 阻 断 攻 击 过 程 或 以 其 他 方式 影响 攻击 过 
程 ,通常 可 以 选择 的 措施 有 : 针对 入 侵 者 采取 的 措施 ; 修正 系统 ; 收集 更 详细 的 信息 。 

(2) 被 动 响应 。 在 被 动 响应 系统 中 ,系统 只 报告 和 记录 发 生 的 事件 。 

11.3.2 入 侵 检 测 系 统 的 部 署 

对 于 入 侵 检 测 系统 来 说 ,其 类 型 不 同 , 应 用 环境 不 同 ,部 署 方案 也 就 会 有 所 差别 。 

1. 在 基于 网 络 的 IDS 中 部 署 入 侵 检 测 系 统 


基于 网 络 的 IDS 主要 检测 网 络 数据 报 文 , 因 此 一 般 将 检测 系统 部 署 在 靠近 防火 墙 的 地 


方 。 具 体 可 安排 在 图 11-5 中 的 几 个 位 置 。 
Cr 


口 
[a 
检测 系统 ”检测 系统 ”检测 系统 

图 11-5 在 基于 网 络 的 IDS 中 部 署 入 侵 检 测 器 
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其 中 ,检测 器 可 安放 的 位 置 有 :隔离 区 (DeMilitarized Zone, DMZ) 也 称 “ 非 军事 化 区 ”; 
内 网 主干 (防火 墙 内 侧 ); 外 网 入 口 ( 防 火 墙 外 侧 ) ; 在 防火 墙 的 内 外 都 放置 ; 关键 子 网 。 


2. 在 基于 主机 的 IDS 中 部 署 入 侵 检 测 器 


基于 主机 的 IDS 通常 是 一 个 程序 ,部 署 在 最 重要 、 最 需要 保护 的 主机 上 用 于 保护 关键 
主机 或 服务 器 。 


(1,4 Windows 下 入 侵 检 测 系 统 的 设计 


Windows 平台 下 基于 规则 (基于 误 用 ) 的 网 络 入 侵 检测 系统 ,在 现 有 已 知 的 入 侵 特征 下 
建立 规则 库 , 实 现 数据 包 的 捕获 和 分 析 , 完 成 对 漏洞 攻击 和 扫描 等 攻击 行为 的 检测 和 报告 。 
同时 将 攻击 事件 存 和 人 数据库, 以 便 事 后 取证 。 

系统 基于 Windows 平台 构建 的 基于 规则 (基于 误 用 ) 的 网 络 人 侵 检测 系统 ,能 够 有 效 检 
测 人 侵 事件 .防止 人 侵 、 安 全 审计 。 

系统 总 体 结构 框架 如 图 11-6 所 示 。 


一 [aa | 
检测 模块 数据 分 析 
让 了 规则 库 

响应 模块 | 规则 匹配 引 芝 | 
响应 单元 

一 | 日 志 库 


图 11-6 系统 总 体 结构 框架 


在 规则 库 的 设计 中 ,IDS 要 有 效 地 捕捉 入 侵 行为 ,必须 拥有 一 个 强大 的 入 侵 特征 数据 
库 , 这 就 如 同 公安 部 门 必须 拥有 健全 的 罪犯 信息 库 一 样 。 但 是 ,IDS 一 般 所 带 的 特征 数据 库 
都 比较 死板 , 遇 到 * 变 脸 ” 的 入 侵 行为 往往 相逢 不 相识 。 因 此 ,管理 员 有 必要 学 会 如 何 创建 满 
足 实际 需要 的 特征 数据 样板 ,做 到 万 变 应 万 变 。 

IDS 中 的 规则 (特征 ) 就 是 指 用 于 判别 通信 信息 种 类 的 样板 数据 ,通常 分 为 多 种 ,以 下 是 
一 些 典型 情况 及 识别 方法 。 

(1) 来 自 保留 IP 地 址 的 连接 企图 : 可 通过 检查 IP 报头 (IP Header) 的 来 源 地 址 轻易 地 
识别 。 

(2) 带 有 非法 TCP 标识 联合 物 的 数据 包 : 可 通过 对 比 TCP 报头 中 的 标识 集 与 已 知 正 
确 和 错误 标记 联合 的 不 同 点 来 识别 。 
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(3) 含有 特殊 病毒 信息 的 E-mail: 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 
的 主题 信息 来 识别 ,或 者 ,通过 搜索 特定 名 字 的 附近 来 识别 。 

(4) 查询 负载 中 的 DNS 缓冲 区 溢出 企图 : 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 来 
识别 利用 DNS 域 的 缓冲 区 溢出 企图 。 

(5) 通过 对 POP3 服务 器 发 出 上 千 次 同一 命令 而 导致 的 DOS 攻击 : 通过 跟踪 记录 某 个 
命令 连续 发 出 的 次 数 , 看 看 是 否 超过 了 预 设 上 限 ,而 发 出 报警 信息 。 

(6) 未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 : 通过 创建 具备 
状态 跟踪 的 特征 样板 以 监视 成 功 登 录 的 FTP 对 话 , 发 现 未 经 验证 却 发 命令 的 入 侵 企图 。 

从 以 上 分 类 可 以 看 出 特征 的 涵盖 范围 很 广 , 有 简单 的 报头 域 数值 有 高 度 复杂 的 连接 状 
态 跟踪 ` 有 扩展 的 协议 分 析 。 

报头 值 的 结构 比较 简单 ,而 且 可 以 很 清楚 地 识别 出 异常 报头 信息 ,因此 ,特征 数据 的 首 
席 候选 人 就 是 它 。 一 个 经 典 的 例子 是 ,明显 违背 RFC793 中 规定 的 TCP 标准 、 设 置 了 SYN 
和 FIN 标记 的 TCP 数据 包 。 这 种 数据 包 被 许多 和 人 侵 软件 采用 ,向 防火 墙 . 路 由 器 以 及 IDS 
系统 发 起 攻击 。 

因为 大 多 数 操作 系统 和 应 用 软件 都 是 在 假定 RFC 被 严格 遵守 的 情况 下 编写 的 ,没有 添 
加 针对 异常 数据 的 错误 处 理 程序 ,所 以 许多 包含 报头 值 的 漏洞 都 会 故意 违反 RFC 的 标准 定 
义 , 明 目 张 胆 地 揭发 被 攻击 对 象 的 偷工减料 行为 。 许 多 包含 错误 代码 的 不 完善 软件 也 会 产 
生 违 反 RFC 定义 的 报头 值 数据 。 并 非 所 有 的 操作 系统 和 应 用 程序 都 能 全 面 拥护 RFC 定 
义 ,至 少 会 存在 一 个 方面 与 RFC 不 协调 。 随 着 时 间 的 推移 ,执行 新 功能 的 协议 可 能 不 被 包 
含 于 现 有 RFC 中 。 由 于 以 上 几 种 情况 ,严格 基于 RFC 的 IDS 特征 数据 就 有 可 能 产生 漏 报 
或 误 报效 果 。 对 此 ,RFC 也 随 着 新 出 现 的 违反 信息 而 不 断 进 行 着 更 新 ,有 必要 定期 地 回顾 
或 更 新 存在 的 特征 数据 定义 。 非 法 报头 值 是 特征 数据 一 个 非常 基础 的 部 分 ,合法 但 可 疑 的 
报头 值 也 同等 重要 。 例 如 ,如 果 存 在 到 端口 31337 或 27374 的 可 疑 连接 ,就 可 报警 说 可 能 有 
特洛伊 木马 在 活动 ; 再 附加 上 其 他 更 详细 的 探测 信息 ,就 能 够 进一步 判断 是 真 马 还 是 假 马 。 

不 同 的 入 侵 检 测 系统 有 不 同 的 规则 库 , 本 系统 的 规则 库 结构 如 表 11-1 所 示 。 

表 11-1 规则 库 结 构 


选项 名 称 数据 库 定义 名 称 意 义 
规则 号 rulesid 用 于 定义 规则 的 编号 
耳 协 议 字段 值 Ip_proto 在 规则 中 上 层 协议 的 代码 
IP 上 层 协议 protocol IP 上 层 协议 的 名 称 , 如 tcp 
规则 动作 action 决定 如 果 匹 配 该 规则 将 采取 的 行动 
IP 源 地 址 ip_src 数据 包 的 来 源 地址 
IP 目的 地 址 ip_dst 数据 包 的 目的 地 址 
源 端口 sourceport 数据 包 的 来 源 端 口 
目的 端口 destinationport 数据 包 的 去 向 端口 
服务 类 型 tos IP 数 据 包 中 TOS 字段 的 值 
存活 期 ttl 设置 一 个 用 于 检查 的 存活 期 值 
IP 头 的 分 片 id id 用 于 检测 IP 头 的 分 片 id 值 
IP 选 项 ipoption 如 果 全 包 头 中 包含 则 检查 ,如 源 路 由 


JP 分 段位 fragbits IP 头 中 分 段位 和 保留 位 的 值 
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续 表 
选项 名 称 数据 库 定义 名 称 意 久 
数据 大 小 datasize 数据 包 净 荷 大 小 
TCP Flags flags 检查 TCP Flags 的 值 
TCP 序号 seq 检查 TCP 顺序 号 的 值 
TCP 应 答 ack 检查 TCP 应 答 的 值 
TCP 窗口 域 window 测试 TCP 窗口 域 的 特殊 值 
ICMP 类 型 itype 检查 ICMP type 的 值 
ICMP 代码 icode 检查 ICMP code 的 值 
ICMP ECHO ID icmp_id 检查 ICMP ECHO ID 的 值 
ICMP ECHO 顺序 号 icmp_seq 检查 ICMP ECHO 顺序 号 的 值 
包 净 荷 中 搜索 指定 的 匹配 串 content 需要 检测 的 数据 段 的 匹配 字符 串 
包 净 荷 中 开始 搜索 的 位 置 offset 搜索 数据 段 的 开始 位 置 
包 净 荷 中 搜索 的 最 大 深度 depth 数据 段 从 开始 位 置 开 始 搜索 的 最 大 长 度 
字符 串 大 小 nocase 搜索 的 字符 串 是 否 考虑 大 小 写 
警告 信息 msg 需要 输出 或 写 人 日 志 数据 库 的 警告 信息 


规则 在 数据 库 中 是 以 所 有 类 型 混合 存储 的 方式 存储 的 ,所 以 如 果 每 个 数据 包 到 来 时 都 
遍历 数据 库 , 将 消耗 系统 的 资源 和 增加 程序 的 时 间 复 杂 度 , 所 以 在 本 和 人 侵 检 测 系统 中 将 建立 
规则 的 动态 链表 ,在 程序 初始 化 时 读 取 数 据 库 ,将 以 不 同 的 协议 类 型 ,加 入 不 同 的 动态 规则 
链表 。 规 则 动态 链表 的 分 类 如 表 11-2 所 示 。 

表 11-2 规则 链表 分 类 


IP 规则 动态 链表 以 数据 库 规则 记录 中 的 字段 为 IP 时 ,加 入 该 链表 
TCP 规则 动态 链表 以 数据 库 规则 记录 中 的 字段 为 TCP 时 ,加 入 该 链表 
UDP 规则 动态 链表 以 数据 库 规则 记录 中 的 字段 为 UDP 时 ,加 入 该 链表 
ICMP 规则 动态 链表 以 数据 库 规则 记录 中 的 字段 为 ICMP 时 ,加 入 该 链表 


根据 数据 包 的 协议 特征 分 为 5 种 主要 的 处 理 方式 : 

(1) TCP 规则 匹配 。 如 果 数 据 包 网 络 层 采用 IP 协议 , 且 IP 上 层 协 议 为 TCP, 那 么 进 
入 TCPMatch() 规 则 匹配 的 主 函 数 进行 匹配 ,匹配 函数 将 遍历 TCP 规则 动态 链表 ,匹配 当 
前 规则 中 存在 的 规则 选项 。 

(2) UDP 规则 匹配 。 如 果 数 据 包 网 络 层 采用 IP 协议 , 且 IP 上 层 协议 为 UDP ,那么 进 
入 UDPMatch() 规 则 匹配 的 主 函数 进行 匹配 ,匹配 函数 将 遍历 UDP 规则 动态 链表 ,匹配 当 
前 规则 中 存在 的 规则 选项 。 

(3) ICMP 规则 匹配 。 如 果 数 据 包 网 络 层 采用 IP 协议 , 且 IP 上 层 协 议 为 ICMP, 那 么 
进入 ICMPMatch() 规 则 匹配 的 主 函 数 进行 匹配 ,匹配 函数 将 遍历 UDP 规则 动态 链表 ,匹配 
当前 规则 中 存在 的 规则 选项 。 

(4) IP 规则 匹配 。 如 果 数 据 包 网 络 层 采用 IP 协议 , 且 IP 上 层 协议 不 为 TCP、UDP、 
ICMP 那么 进入 IPMatch() 规 则 匹配 的 主 函 数 进行 匹配 ,匹配 函数 将 遍历 IP 规则 动态 链 
表 , 匹 配 当 前 规则 中 存在 的 规则 选项 。 

(5) 其 他 情况 处 理 。 如 果 数 据 包 网 络 层 采用 其 他 协议 ,那么 根据 不 同 的 协议 类 型 输出 
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相应 的 信息 。 

另外 ,如 果 规 则 中 出 现 了 数据 选项 (content), 则 可 以 用 BM 算法 对 内 容 进 行 搜索 。 内 
容 可 以 有 不 同 的 格式 : 二 进 制 .文本 或 者 两 者 的 混合 。 

日 志 数 据 库 主 要 是 存储 需要 记录 的 重要 入 侵 记 录 , 其 作用 是 为 了 对 入 侵 事 件 的 分 析 和 
取证 ,主要 结构 如 表 11-3 和 表 11-4 所 示 。 

表 11-3 重要 日 志 信 息 表 


名 称 数据 库 定义 字段 名 称 
协议 protocol 
时 间 date 
警告 信息 msg 
源 和 目的 IP 地 址 ip 
源 和 目的 端口 port 
信息 摘要 text 


表 11-4 一 般 日 志 信息 表 


名 称 数据 库 定义 字段 名 称 
警告 信息 msg 
时 间 date 


1. 根据 检测 原理 ,入 侵 检 测 系统 可 以 分 为 几 类 ? 其 原理 分 别 是 什么 ? 
2. 基于 主机 的 入 侵 检 测 系统 的 优点 是 什么 ? 

3. 基于 网 络 的 入 侵 检 测 系统 的 优点 与 缺点 是 什么 ? 

4. 入 侵 检 测 系统 弥补 了 防火 墙 的 哪些 不 足 ? 
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(12,1 无 线 网 络 概述 


无 线 局 域 网 的 历史 及 发 展 无 线 局 域 网 的 历史 起 源 可 以 追溯 到 半 个 多 世纪 前 的 第 二 次 世 
界 大 战 期 间 , 当 时 美国 陆军 采用 无 线 电信 号 用 作 资 料 传输 。 他 们 研发 出 一 套 无 线 电 传输 技 
术 , 并 且 采 用 了 相当 高 强度 的 加 密 技术 ,美军 和 盟 军 都 广泛 使 用 这 项 技术 。1971 年 ,夏威夷 
Re tor horny re make 创造 了 第 一 
基于 封包 式 技术 的 无 线 电 通 信和 网 络 。 这 个 被 称 做 ALOHNET 的 网 络 包括 7 台 计 算 机 , 它 
pdt he :中心 计算 机 放置 在 瓦 胡 岛 上 。 ER 
做 无 线 局 域 网 的 鼻祖 。 

无 线 局 域 网 可 以 应 用 于 区 域 覆盖 和 点 对 点 传输 ,其 中 又 以 区 域 覆 盖 应 用 占 绝 大 多 数 。 
国内 的 无 线 局 域 网 现状 ,按照 应 用 规模 大 致 可 以 分 为 以 下 四 种 类 型 。 

(1) 个 人 及 家 庭 用 户 : 拥有 多 台 计 算 机 的 家 庭 越 来 越 普 遍 , 此 类 用 户 一 般 会 使 用 集成 
无 线 功 能 的 宽带 路 由 器 。 

(2) 企业 用 户 : 这 类 用 户 的 无 线 网 络 大 部 分 由 自己 或 系统 集成 商 搭建 ,网 络 规模 差异 
很 大 ,网 络 的 设计 水 平和 安全 状况 也 参差 不 齐 。 

(3) 热点 应 用 : 近年 来 ,在 咖啡 厅 , 酒 店 ,医院 ,商场 ,车 站 等 场所 纷纷 兴起 了 提供 无 线 
上 网 的 服务 ,这 些 网 络 仍然 是 由 用 户 自己 或 系统 集成 商 搭建 ,但 是 网 络 的 利用 率 不 高 。 

(4) 大 面积 覆盖 : 为 提升 城市 形象 或 出 于 ISP 之 间 的 竞争 等 目的 ,目前 涌现 了 大 批 机 
场 覆 盖 ,无线 社 区 、 无 线 高 校 ,甚至 无 线 城市 ,这 类 大 型 网 络 一 般 是 由 各 大 运营 商 进行 部 署 
的 ,从 设计 到 实施 都 比较 系统 。 

上 面 这 些 不 同 规模 的 网 络 具 有 各 自 不 同 的 特点 ,但 它们 的 共同 点 就 是 能 够 极 大 地 方便 
人 们 的 生活 。 不 管 未 来 会 采用 何 种 无 线 技术 标准 ， 可 以 肯定 的 一 点 是 ,未 来 无 线 网 络 的 传输 
速率 及 稳定 性 将 会 不 断 提 高 ,甚至 会 超越 传统 有 线 网 络 , 同 时 硬件 设备 的 成 本 将 呈 下 降 趋 
势 ,结合 无 线 网 络 移动 性 强 、 易 扩展 、 易 部 署 等 传统 优势 ,未 来 无 线 网 络 在 各 个 层次 各 种 规模 
的 消费 群体 里 面 都 将 具有 极 大 的 发 展 空间 。 无 线 网 络 比 有 线 网 络 为 用 户 提供 了 更 大 的 便携 
性 和 灵活 性 ,其 能 够 通过 无 线 接 人 点 (AP) 将 客户 端 联接 到 网 络 上 ,从 而 摆脱 电缆 的 困扰 。 
其 接 入 点 可 以 通过 一 个 具有 RJ-45 接口 的 网 络 适配器 在 有 线 网 络 上 进行 联接 。 无 线 网 络 接 
和 人 点 的 典型 覆盖 范围 直径 大 约 为 室外 300m 以 内 ,室内 100m 以 内 ,便携 计算 机 等 移动 设备 
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可 以 在 其 覆盖 范围 内 自由 走动 ,把 这 些 范 围 连 接 起 来 可 形成 更 大 的 覆盖 ,可 以 使 用 户 在 多 个 
AP 之 间 移 动 。 

无 线 网 络 的 出 现 , 使 得 许多 有 线 网 络 解决 不 了 的 问题 迎刃而解 。 可 以 在 不 像 传统 网 络 
布线 的 同时 ,提供 有 线 网 络 的 所 有 功能 ,并 能 够 随 着 用 户 的 需要 随意 更 改 扩展 网 络 ,实现 移 
动 应 用 。 无 线 网 络 具有 传统 有 线 网 络 无 法 比拟 的 优点 。 

(1) 灵活 性 ,不 受 线 缆 的 限制 ,可 以 随意 增加 和 配置 工作 站 。 

(2) 低 成 本 ,无 线 网 络 不 需要 大 量 的 工程 布线 ,同时 节省 了 线路 维护 的 费用 。 

(3) 移动 性 ,不 受 时 间 、 空 间 的 限制 ,随时 随地 可 以 上 网 。 

(4) 易 安 装 , 和 有 线 相 比 ,无 线 网 络 的 组 建 、 配 置 维护 都 更 容易 。 

(5) 更 加 美观 ,传统 的 有 线 网 络 很 多 情况 下 都 影响 到 了 家 庭 的 美观 ,而 无 线 网 络 则 没有 
这 个 问题 。 

但 是 ,一 切 事 物 有 利 亦 有 整 。 无 线 网 络 也 同时 有 着 许多 缺陷 。 

(1) 无 线 网 络 的 速度 并 不 是 非常 稳定 ,和 有 线 相 比 ,还 有 着 很 大 的 差距 。 

(2) 安全 性 也 是 一 个 很 大 的 问题 ,无 线 网 络 是 通过 特定 的 无 线 电波 传送 的 。 所 以 在 这 
发 射频 率 的 有 效 范 围 内 ,任何 具有 合适 的 接收 设备 的 人 都 可 以 捕获 该 频率 的 信号 ,而 防火 墙 
对 通过 无 线 电 波 进行 的 网 络 通信 起 不 了 作用 ,任何 人 在 视 距 范围 之 内 都 可 以 截获 和 插入 数 
据 。 所 以 无 线 网 络 在 通信 过 程 中 存在 着 重大 的 安全 威胁 。 


(2,2 无 线 网 络 原理 


无 线 局 域 网 ,是 通过 发 射 和 接收 装置 (无 线 设备 ) 连 接 交 换 机 的 ,工作 站 通过 无 线 网 卡 和 
无 线 设 备 进行 通信 ,无 线 设备 接收 到 信号 就 传送 给 交换 机 再 用 交换 机 连接 到 路 由 器 ,路 由 器 
接 入 Internet, 实 现 上 网 。 无 线路 由 器 可 以 直接 接 入 Internet 接收 无 线 (广域网 比如 
CDMA) 信 号 来 上 网 。 

有 具体 的 调制 方式 包括 扩展 频谱 方式 和 罕 带 调制 方式 。 


1. 扩展 频谱 方式 


在 这 种 方式 下 ,数据 信号 的 频谱 被 扩展 成 儿 倍 甚至 几 十 倍 后 再 被 发 射出 去 。 这 一 做 法 
固然 牺牲 了 频带 带宽 ,但 提高 了 通信 系统 的 抗 干扰 能 力 和 安全 性 。 采 用 扩展 频谱 方式 的 无 
线 局 域 网 一 般 选 择 的 是 ISM 频段 ,这 里 ISM 分 别 取 自 Industrial、Scientific 及 Medical 的 第 
一 个 字母 。 许 多 工业 、 科 研 和 医疗 设备 的 发 射频 率 均 集 中 于 该 频段 。 例 如 美国 ISM 频段 由 
902 一 928MHz,2. 4 一 2.48GHz,5.725 一 5. 850GHz 三 个 频段 组 成 。 如 果 发 射 功率 及 带宽 辆 
射 满足 美国 联邦 通信 委员 会 (FCC) 的 要 求 , 则 无 须 向 FCC 提出 专门 的 申请 即 可 使 用 ISM 
频段 。 


2. 窄带 调制 方式 


顾名思义 ,在 这 种 调制 方式 下 ,数据 信号 在 不 做 任何 扩展 的 情况 下 即 被 直接 发 射出 去 。 
与 扩展 频谱 方式 相 比 , 罕 带 调试 方式 占用 频带 少 ,频带 利用 率 高 。 但 采用 窄带 调制 方式 的 无 
线 局 域 网 要 占用 专用 频段 ,因此 需 经 过 国家 无 线 电 管理 部 门 的 批准 方 可 使 用 。 当 然 , 用 户 也 
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可 以 直接 选用 ISM 频段 来 免 去 频段 申请 。 但 所 带 来 的 问题 是 , 当 临 近 的 仪器 设备 或 通信 设 
备 也 在 使 用 这 一 频段 时 ,会 严重 影响 通信 质量 ,通信 的 可 靠 性 无 法 得 到 保障 。 

目前 ,基于 IEEE 802. 11 标准 的 WLAN 使 用 的 均 是 扩展 频谱 方式 。 

迄今 为 止 ,电子 电器 工程 师 协 会 (IEEE) 已 经 开发 并 制定 了 4 种 IEEE 802. 11 无 线 局 域 
网 规范 : IEEE 802. 11 IEEE 802. 11b IEEE 802. 11a、IEEE 802. 11g。 所 有 的 这 4 种 规范 
都 使 用 了 防 数据 丢失 特征 的 载波 检测 多 址 连接 (CDMAVCD) 作 为 路 径 共 享 协议 。 任 何 局 域 
网 应 用 、 网 络 操作 系统 以 及 网 络 协议 (包括 互联 网 协议 `.TCP/IP) 都 可 以 轻松 运行 在 基于 
IEEE 802. 11 规范 的 无 线 局 域 网 上 ,就 像 以 太 网 那样 。 但 是 WLAN 却 没 有 * 飞 棍 走 壁 "的 连 
接线 缆 。 

早期 的 IEEE 802. 11 标准 数据 传输 率 为 2Mb/s, 后 经 过 改进 ,传输 速率 达 11Mb/s 的 
IEEE 802. 11b 也 紧 跟 着 出 台 。 但 随 着 网 络 的 发 展 ,特别 是 IP 语音 .视频 数据 流 等 高 带宽 网 
络 应 用 的 频繁 ,IEEE 802. 11b 规范 11Mb/s 的 数据 传输 率 不 免 有 些 力不从心 。 于 是 ,传输 
速率 高 达 54Mb/s 的 IEEE 802. 11a 和 IEEE 802. 11g 随即 诞生 。 下 面 就 从 性 能 及 特点 上 入 
手 , 来 分 别 介绍 这 三 种 当今 主流 的 无 线 网 络 规 范 。 

(1) IEEE 802. 11b。 从 性 能 上 看 ,IEEE 802. 11b 的 带宽 为 11Mb/s, 实 际 传输 速率 在 
5Mb/s 左右 ,与 普通 的 10Base-T 规格 有 线 局 域 网 持平 。 无 论 是 家 庭 无 线 组 网 还 是 中 小 企 
业 的 内 部 局 域 网 ,IEEE 802. 11b 都 能 基本 满足 使 用 要 求 。 由 于 基于 的 是 开放 的 2. 4GHz 频 
段 ,因此 IEEE 802. 11b 的 使 用 无 需 申 请 , 既 可 作为 对 有 线 网 络 的 补充 ,又 可 自行 独立 组 网 ， 
灵活 性 很 强 。 

从 工作 方式 上 看 ,IEEE 802. 11b 的 运作 模式 分 为 两 种 : 点 对 点 模式 和 基本 模式 。 其 中 
点 对 点 模式 是 指 无 线 网 卡 和 无 线 网 卡 之 间 的 通信 方式 , 即 一 台 装 配 了 无 线 网 卡 的 计算 机 可 
以 与 另 一 台 装配 了 无 线 网 卡 的 计算 机 实施 通信 ,对 于 小 型 无 线 网 络 来 说 ,这 是 一 种 非常 方便 
的 互联 方案 ; 而 基本 模式 则 是 指 无 线 网 络 的 扩充 或 无 线 和 有 线 网 络 并 存 时 的 通信 方式 ,这 
也 是 IEEE 802. 11b 最 常用 的 连接 方式 。 此 时 ,装载 无 线 网 卡 的 计算 机 需要 通过 无 线 (“ 接 
入 点 ”AP) 才 能 与 另 一 台 计算 机 连接 ,由 接 人 点 来 负责 频段 管理 及 漫游 等 指挥 工作 。 在 带宽 
允许 的 情况 下 ,一 个 接 入 点 最 多 可 支持 1024 个 无 线 节 点 的 接 入 。 当 无 线 节 点 增加 时 ,网 络 
存 取 速 度 会 随 之 变 慢 , 此 时 添加 接 入 点 的 数量 可 以 有 效 地 控制 和 管理 频段 。 从 目前 大 多 数 
的 应 用 案例 来 看 , 接 入 点 是 作为 架 起 无 线 网 与 有 线 网 之 间 的 桥梁 而 存在 的 。 这 一 点 ,在 随后 
的 AP 评测 中 还 将 详细 阐述 。 

作为 目前 最 普及 、 应 用 最 广泛 的 无 线 标准 .IEEE 802. 11b 的 优势 不 言 而 喻 。 技 术 的 成 
熟 ,使 得 基于 该 标准 网 络 产品 的 成 本 得 到 了 很 好 的 控制 ,无 论 家 庭 还 是 企业 用 户 ,无 需 太 多 
的 资金 投入 即 可 组 建 一 套 完 整 的 无 线 局 域 网 。 但 IEEE 802. 11b 的 缺点 也 是 显而易见 的 ， 
11Mb/s 的 带宽 并 不 能 很 好 地 满足 大 容量 数据 传输 的 需要 ,只 能 作为 有 线 网 络 的 一 种 补充 。 

(2) IEEE 802. 11a。 就 技术 角度 而 言 ,IEEE 802. 11a 与 IEEE 802. 11b 虽 在 编号 上 仅 
一 字 之 差 , 但 两 者 间 的 关系 并 不 像 其 他 硬件 产品 换代 时 的 简单 升级 ,这 种 差别 主要 体现 在 工 
作 频 段 上 。 由 于 IEEE 802. 11a 工作 在 不 同 于 IEEE 802. 11b 的 5. 2GHz 频段 , 避 开 了 当前 
微波 、 蓝 牙 以 及 大 量 工业 设备 广泛 采用 的 2. 4GHz 频段 ,因此 其 产品 在 无 线 数据 传输 过 程 中 
所 受到 的 干扰 大 为 降低 , 抗 干扰 性 较 IEEE 802. 11b 更 为 出 色 。 

高 达 54Mb/s 的 数据 传输 带宽 ,是 IEEE 802. 11a 的 真正 意义 所 在 。 当 IEEE 802. 11b 
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以 其 11Mb/s 的 数据 传输 率 满足 了 一 般 上 网 冲浪 、 数 据 交 换 、 共 享 外 设 等 需求 的 同时 ,IEEE 
802. 11a 已 经 为 今后 无 线 宽带 网 的 进一步 要 求 做 好 了 准备 ,从 长 远 的 发 展 角 度 来 看 ,其 竞争 
力 是 不 言 而 喻 的 。 此 外 ,IEEE 802. 11a 的 无 线 网 络 产品 较 IEEE 802. 11b 有 着 更 低 的 功 耗 ， 
这 对 笔记 本 电脑 以 及 PDA 等 移动 设备 来 说 也 有 着 重大 意义 。 

然而 ,IEEE 802. 11a 的 普及 也 并 非 一 帆 风 顺 的 ,就 像 许 多 新 生 事物 被 人 们 所 接受 时 要 
面临 一 些 问题 一 样 ,IEEE 802. 11a 也 有 其 自身 的 “难言之隐 ”。 

首先 ,IEEE 802. 11a 所 面临 的 难题 是 来 自 厂商 方面 的 压力 。 眼 下 ,IEEE 802. 11b 已 走 
向 成 熟 ,许多 拥有 IEEE 802. 11b 产品 的 厂商 会 对 IEEE 802. 11a 持 谨慎 态度 。 二 者 是 竞争 
还 是 共存 ,各 厂商 的 态度 莫衷一是 。 从 目前 的 情况 来 看 ,由 于 这 两 种 技术 标准 互 不 兼容 ,不 
少 厂商 为 了 均衡 市 场 需求 ,直接 将 其 产品 做 成 了 a 十 b 的 形式 ,这 种 做 法 固然 解决 了 “兼容 ” 
问题 ,但 也 带 来 了 成 本 增加 的 负面 因素 。 其 次 ,相关 法 律 法 规 的 限制 ,使 得 5. 2GHz 频段 无 
法 在 全 球 各 个 国家 中 获得 批准 和 认可 。5. 2GHz 的 高 频 虽 然 令 IEEE 802. 11a 具有 了 低 干 
扰 的 使 用 环境 ,但 也 带 来 了 不 利 的 一 面 一 一 太空 中 数 以 千 计 的 人 造 卫 星 与 地 面 站 通信 也 恰 
恰 使 用 5. 2GHz 频段 。 此 外 ,欧盟 也 只 允许 将 5. 2GHz 频率 用 于 其 自己 制定 的 另 一 个 无 线 
标准 HiperLAN 。 

(3) IEEE 802. 11g。 不 可 否认 ,IEEE 802. 11g 的 诞生 为 无 线 网 络 市 场 注入 了 一 剂 “ 强 
心 针 ”, 但 随 之 带 来 的 还 有 无 休止 的 争论 ,争论 的 焦点 自然 是 围绕 在 IEEE 802. 11a 与 IEEE 
802.11g 之 间 。 与 IEEE 802. 11a 相同 的 是 ,IEEE 802. llg 也 使 用 了 正 交 分 频 多 任务 
(Orthogonal Frequency Division Multiplexing,OFDM) 的 模块 设计 ,这 是 其 54Mb/s 高 速 传 
输 的 秘诀 。 然 而 不 同 的 是 ,IEEE 802. 11g 的 工作 频段 并 不 是 IEEE 802. 11a 的 5.2GHz, 而 
是 坚守 在 和 IEEE 802. 11b 一 致 的 2. 4GHz 频段 ,这 样 一 来 ,原先 IEEE 802. 11b 使 用 者 所 
担心 的 兼容 性 问题 得 到 了 很 好 的 解决 ,IEEE 802. 11g 提供 了 一 个 平滑 过 渡 的 选择 。 

既然 IEEE 802. 11b 有 了 IEEE 802. 11a 来 替代 ,无 线 宽带 局 域 网 可 谓 已 经 后 继 有 人 
了 , 那 IEEE 802. 11g 的 推出 是 否 多 余 了 呢 ? 答案 自然 是 否定 的 。 除 了 有 具备 高 传输 率 以 及 
兼容 性 上 的 优势 外 , IEEE 802. llg 所 工作 的 2. 4GHz 频段 的 信号 衰减 程度 不 像 
IEEE 802. 11a 的 5. 2GHz 那么 严重 ,并 且 IEEE 802. 11g 还 具备 更 优秀 的 “ 穿 透 能力, 能 适 
应 更 加 复杂 的 使 用 环境 。 但 是 先天 性 的 不 足 (2. 4GHz 工作 频段 ) ,使 得 IEEE 802. 11g 和 它 
的 前 辈 IEEE 802. 11b 一 样 极 易 受到 微波 、 无 线 电话 等 设备 的 干扰 。 此 外 ,IEEE 802. 11g 的 
信号 比 IEEE 802. 11b 的 信号 能 够 覆盖 的 范围 要 小 得 多 ,用 户 可 能 需要 添置 更 多 的 无 线 接 
入 点 才能 满足 原 有 使 用 面积 的 信号 覆盖 ,这 是 高 速 的 代价 。 

(4) IEEE 802. 11n。 新 兴 的 802. 11n 标准 具有 高 达 600Mb/s 的 速率 ,是 下 一 代 无 线 网 
络 技术 ,可 提供 对 带宽 最 为 敏感 的 应 用 所 需要 的 速率 .范围 和 可 靠 性 。 


(2 无 线 网 络 的 安全 


12.3.1 无 线 网 络 与 有 线 网 络 的 区 别 


由 于 无 线 网 络 通过 无 线 电波 在 空中 传输 数据 ,在 数据 发 射 机 覆盖 区 域内 几乎 所 有 的 无 
线 网 络 用 户 都 能 接触 到 这 些 数据 。 只 要 具有 相同 接收 频率 就 可 能 获取 所 传递 的 信息 。 要 将 
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无 线 网 络 环境 中 传递 的 数据 仅仅 传送 给 一 个 目标 接收 者 是 不 可 能 的 。 另 一 方面 ,由 于 无 线 
移动 设备 在 存储 能 力 .计算 能 力 和 电源 供电 时 间 方 面 的 局 限 性 ,使 得 原来 在 有 线 环境 下 的 许 
多 安全 方案 和 安全 技术 不 能 直接 应 用 于 无 线 环境 ,例如 ,防火 墙 对 通过 无 线 电 波 进行 的 网 络 
通信 起 不 了 作用 ,任何 人 在 区 域 范围 之 内 都 可 以 截获 和 插入 数据 。 计 算 量 大 的 加 密 解密 算 
法 不 适宜 用 于 移动 设备 等 。 因 此 ,需要 研究 新 的 适合 于 无 线 网 络 环境 的 安全 理论 、 安 全 方法 
和 安全 技术 。 与 有 线 网 络 相 比 , 无 线 网 络 所 面临 的 安全 威胁 更 加 严重 。 所 有 常规 有 线 网 络 
中 存在 的 安全 威胁 和 隐患 都 依然 存在 于 无 线 网 络 中 ; 外 部 人 员 可 以 通过 无 线 网 络 绕 过 防火 
墙 ,对 专用 网 络 进行 非 授权 访问 ; 无 线 网 络 传输 的 信息 容易 被 窃取 、 自 改 和 插入 ; 无 线 网 络 
容易 受到 拒绝 服务 攻击 (DoS) 和 干扰 ;内 部 员工 可 以 设置 无 线 网 卡 以 端 对 端 模 式 与 外 部 员 
工 直 接连 接 。 此 外 ,无 线 网 络 的 安全 技术 相对 比较 新 ,安全 产品 还 比较 少 。 以 无 线 局 域 网 
(WLAN) 为 例 ,移动 节点 、AP 等 每 一 个 实体 都 有 可 能 是 攻击 对 象 或 攻击 者 。 由 于 无 线 网 络 
在 移动 设备 和 传输 媒介 方面 的 特殊 性 ,使 得 一 些 攻击 更 容易 实施 ,对 无 线 网 络 安全 技术 的 研 
究 比 有 线 网 络 的 限制 更 多 ,难度 更 大 。 无 线 网 络 在 信息 安全 方面 有 着 与 有 线 网 络 不 同 的 特 
点 ,具体 表现 在 以 下 4 个 方面 。 


1. 无 线 网 络 的 开放 性 使 得 其 更 容易 受到 恶意 攻击 


无 线 链 路 使 得 网 络 更 容易 受到 从 被 动 窃听 到 主动 干扰 的 各 种 攻击 。 有 线 网 络 的 网 络 连 
接 是 相对 固定 的 ,具有 确定 的 边界 ,攻击 者 必须 物理 接 入 网 络 或 经 过 几 道 防线 ,如 防火 增 和 
网 关 , 才 能 进入 有 线 网 络 。 这 样 通过 对 接 入 端口 的 管理 可 以 有 效 地 控制 非法 用 户 的 接 入 。 
而 无 线 网 络 则 没有 一 个 明确 的 防御 边界 ,攻击 者 可 能 来 自 四 面 八方 和 任意 节点 ,每 个 节点 必 
须 面 对 攻击 者 直接 或 间接 的 攻击 。 无 线 网 络 的 这 种 开放 性 带 来 了 非法 信息 截取 、 未 授权 信 
息 服 务 等 一 系列 的 信息 安全 问题 。 


2. 无 线 网 络 的 移动 性 使 得 安全 管理 难度 更 大 


有 线 网 络 的 用 户 终端 与 接 人 设备 之 间 通 过 线 缆 连接 着 ,终端 不 能 在 大 范围 内 移动 ,对 用 
户 的 管理 比较 容易 。 而 无 线 网 络 终端 不 仅 可 以 在 较 大 范围 内 移动 ,而且 还 可 以 跨 区 域 漫游 ， 
这 意味 着 移动 节点 没有 足够 的 物理 防护 ,从 而 易 被 窃听 、 破 坏 和 支持 。 攻 击 者 可 能 在 任何 位 
置 通过 移动 设备 实施 攻击 ,而 在 全 球 范围 内 跟踪 一 个 特定 的 移动 节点 是 很 难 做 到 的 ; 另外 ， 
通过 网 络 内 部 已 经 被 人 侵 的 节点 实施 攻击 而 造成 的 破坏 更 大 ,更 难 检 测 到 。 因 此 ,对 无 线 网 
络 移动 终端 的 管理 要 困难 得 多 ,无 线 网 络 的 移动 性 带 来 了 新 的 安全 管理 问题 ,移动 节点 及 其 
体系 结构 的 安全 性 更 加 脆弱 。 


3. 无 线 网 络 动态 变化 的 拓扑 结构 使 得 安全 方案 的 实施 难度 更 大 


有 线 网 络 具 有 固定 的 拓扑 结构 ,安全 技术 和 方案 容易 实现 。 而 在 无 线 网 络 环境 中 ,动态 
的 .变化 的 拓扑 结构 。 缺 乏 集 中 管理 机 制 , 使 得 安全 技术 更 加 复杂 。 另 外 ,无 线 网 络 环境 中 
做 出 的 许多 决策 是 分 散 的 ,而 许多 网 络 算法 必须 依赖 所 有 节点 的 共同 参与 和 协作 。 缺 乏 集 
中 管理 机 制 意味 着 攻击 者 可 能 利用 这 一 弱点 实施 新 的 攻击 来 破坏 协作 算法 。 
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4. 无 线 网 络 传输 信号 的 不 稳定 性 带 来 无 线 通信 网 络 的 鲁 棒 性 问题 


有 线 网 络 的 传输 环境 是 确定 的 ,信号 质量 稳定 ,而 无 线 网 络 随 着 用 户 的 移动 其 信道 特性 
是 变化 的 ,会 受到 干扰 、 衰 落 、 多 径 、 多 普 勒 频谱 等 多 方面 的 影响 ,造成 信号 质量 波动 较 大 ,其 
至 无 法 通信 。 因 此 ,无 线 网 络 传输 信道 的 不 稳定 性 带 来 了 无 线 通信 网 络 的 鲁 棒 性 问题 。 此 
外 ,移动 计算 引入 了 新 的 计算 和 通信 行为 ,这 些 行为 在 固定 或 有 线 网 络 中 很 少 出 现 。 例如， 
移动 用 户 通 信和 能 力 不 足 , 其 原因 是 链 路 速度 慢 、 带 宽 有 限 、 成 本 较 高 .电池 能 量 有 限 等 。 而 无 
连接 操作 和 依靠 地 址 运行 的 情况 只 出 现在 移动 无 线 环 境 中 。 因 此 ,有 线 网 络 中 的 安全 措施 
不 能 对 付 基于 这 些 新 的 应 用 而 产生 的 攻击 。 无 线 网 络 的 脆弱 性 是 由 于 其 媒体 的 开放 性 、 终 
端的 移动 性 、 动 态 变化 的 网 络 拓扑 结构 ,协作 算法 、 缺 乏 集中 监视 和 管理 点 以 及 没有 明确 的 
防线 造成 的 。 因 此 ,在 无 线 网 络 环境 中 ,在 设计 实现 一 个 完善 的 无 线 网 络 系统 时 ,除了 考虑 
在 无 线 传输 信道 上 提供 完善 的 移动 环境 下 的 多 业务 服务 平台 外 ,还 必须 考虑 其 安全 方案 的 
设计 ,这 包括 用 户 接 入 控制 设计 、 用 户 身 份 认证 方案 设计 、 用 户 证 书 管理 系统 的 设计 、 密 钥 协 
商 及 密 钥 管 理 方案 的 设计 等 。 


12.3.2 无 线 网 络 面临 的 安全 问题 


由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,电磁 波 能 够 穿 过 天 花 板 .玻璃 ,楼层 、 砖 、 
墙 等 物体 ,因此 在 一 个 无 线 局 域 网 接 人 点 (Access Point) 所 服务 的 区 域 中 ,任何 一 个 无 线 客 
户 端 都 可 以 接收 到 此 接 和 人 点 的 电磁 波 信号 ,这 样 就 可 能 包括 一 些 恶意 用 户 也 能 接收 到 其 他 
无 线 数据 信号 。 这 样 恶意 用 户 在 无 线 局 域 网 中 相对 于 在 有 线 局 域 网 当中 ,去 窃听 或 干扰 信 
无 线 网 络 所 面临 的 安全 威胁 主要 有 以 下 6 类 。 


1. 网 络 窃听 


一 般 说 来 ,大 多 数 网 络 通信 都 是 以 明文 ( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信号 覆 
盖 范 围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 ( 读 取 ) 通 信 。 这 类 攻击 是 企业 管理 员 面 临 的 最 大 
的 安全 问题 。 如 果 没 有 基于 加 密 的 强 有 力 的 安全 服务 ,数据 就 很 容易 在 空气 中 传输 时 被 他 
人 读 取 并 利用 。 


2. 中 间 人 欺骗 


在 没有 足够 的 安全 防范 措施 的 情况 下 ,是 很 容易 受到 利用 非法 AP 进行 的 中 间 人 欺骗 
攻击 的 。 解 决 这 种 攻击 通常 的 做 法 是 采用 双向 认证 方法 ( 即 网 络 认证 用 户 , 同 时 用 户 也 认证 
网 络 ) 和 基于 应 用 层 的 加 密 认证 (如 HTTPS 十 Web)。 


3. WEP 破解 


现在 互联 网 上 存在 一 些 程序 ,能 够 捕捉 位 于 AP 信号 覆盖 区 域内 的 数据 包 , 收 集 到 足够 
的 WEP 弱 密 钥 加 密 的 包 , 并 进行 分 析 以 恢复 WEP 密 钥 。 根据 监听 无 线 通 信 的 机 器 速度 、 
WLAN 内 发 射 信号 的 无 线 主机 数量 ,以 及 由 于 802. 11 帧 冲突 引起 的 IV 重 发 数量 ,最 快 可 
以 在 两 个 小 时 内 攻破 WEP 密 钥 。 
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4. MAC 地 址 欺骗 


即使 AP 启用 了 MAC 地 址 过 滤 ,使 未 授权 的 黑客 的 无 线 网 卡 不 能 连接 AP, 这 并 不 意 
味 着 能 阻止 黑客 进行 无 线 信号 侦 听 。 通 过 某 些 软件 分 析 截 获 的 数据 ,能 够 获得 AP 允许 通 
信 的 STA MAC 地 址 ,这 样 黑 客 就 能 利用 MAC 地 址 伪装 等 手段 人 侵 网 络 了 。 


5. 地 址 欺骗 和 会 话 拦截 


由 于 802. 11 无 线 局 域 网 对 数据 帧 不 进行 认证 操作 ,攻击 者 可 以 通过 欺骗 帧 去 重 定向 数 
据 流 和 使 ARP 表 变 得 混乱 ,通过 非常 简单 的 方法 ,攻击 者 可 以 轻易 获得 网 络 中 站 点 的 
MAC 地 址 ,这 些 地 址 可 以 在 恶意 攻击 时 使 用 。 

除 通 过 欺骗 帧 进行 攻击 外 ,攻击 者 还 可 以 通过 截获 会 话 帧 发 现 AP 中 存在 的 认证 缺陷 ， 
通过 监测 AP 发 出 的 广播 帧 发 现 AP 的 存在 。 然 而 ,由 于 802. 11 没有 要 求 AP 必须 证 明 自 
已 真是 一 个 AP, 攻 击 者 很 容易 装扮 成 AP 进入 网 络 ,通过 这 样 的 AP, 攻 击 者 可 以 进一步 获 
取 认 证 身份 信息 从 而 进入 网 络 。 在 没有 采用 802. 11i 对 每 一 个 802. 11 MAC 帧 进行 认证 的 
技术 前 ,通过 会 话 拦 截 实现 的 网 络 入 侵 是 无 法 避免 的 。 


6. 高 级 入 侵 


一 旦 攻击 者 进入 无 线 网 络 ,就 将 成 为 进一步 人 侵 其 他 系统 的 起 点 。 很 多 网 络 都 有 一 套 
经 过 精心 设置 的 安全 设备 作为 网 络 的 外 过 ,以 防止 非法 攻击 ,但 是 在 外 过 保护 的 网 络 内 部 却 
是 非常 脆弱 和 容易 受到 攻击 的 。 无 线 网 络 通过 简单 配置 就 可 快速 地 接 入 网 络 主 干 ,但 这 样 
会 使 网 络 暴 露 在 攻击 者 面前 。 即 使 有 一 定 边 界 安全 设备 的 网 络 ,同样 也 会 使 网 络 暴露 出 来 
从 而 遭 到 攻击 。 


12.3.3 常用 的 无 线 网 络 安全 技术 
1. 服务 集 标识 符 


通过 对 多 个 无 线 接 人 点 (Access Point,AP) 设 置 不 同 的 SSID, 并 要 求 无 线 工 作 站 出 示 
正确 的 SSID 才能 访问 AP, 这 样 就 可 以 允许 不 同 群 组 的 用 户 接 和 人 ,并 对 资源 访问 的 权限 进 
行 区 别 限 制 。 因 此 可 以 认为 SSID 是 一 个 简单 的 口令 ,从 而 提供 一 定 的 安全 ,但 如 果 配 置 
AP 向 外 广播 其 SSID ,那么 安全 程度 还 将 下 降 。 由 于 一 般 情 况 下 ,用 户 自己 配置 客户 端 系 
统 , 所 以 很 多 人 都 知道 该 SSID ,很 容易 共享 给 非法 用 户 。 目 前 有 的 厂家 支持 “任何 (any)” 
SSID 方式 ,只 要 无 线 工 作 站 在 任何 AP 范围 内 ,客户 端 都 会 自动 连接 到 AP, 这 将 跳 过 SSID 
安全 功能 。 


2. 物理 地 址 过 滤 


由 于 每 个 无 线 工 作 站 的 网 卡 都 有 唯一 的 物理 地 址 ,因此 可 以 在 AP 中 手工 维护 一 组 允 
许 访问 的 MAC 地 址 列表 ,实现 物理 地 址 过 滤 。 这 个 方案 要 求 AP 中 的 MAC 地 址 列表 必须 
随时 更 新 ,可 扩展 性 差 ; 而 且 MAC 地 址 在 理论 上 可 以 伪造 ,因此 这 也 是 较 低级 别 的 授权 认 
证 。 物 理 地 址 过 滤 属 于 硬件 认证 ,而 不 是 用 户 认 证 。 这 种 方式 要 求 AP 中 的 MAC 地 址 列 
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表 必 须 随时 更 新 ,目前 都 是 手工 操作 ; 如 果 用 户 增 加 , 则 扩展 能 力 很 差 ,因此 只 适合 于 小 型 
网 络 规模 。 


3. 连 线 对 等 保密 


在 链 路 层 采 用 RC4 对 称 加 密 技 术 , 用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相同 时 才能 获准 
存 取 网 络 的 资源 ,从 而 防止 非 授权 用 户 的 监听 以 及 非法 用 户 的 访问 。WEP 提供 了 40 位 (有 
时 也 称 为 64 位 ) 和 128 位 长 度 的 密 钥 机 制 , 但 是 它 仍然 存在 许多 缺陷 ,例如 一 个 服务 区 内 的 
所 有 用 户 都 共享 同一 个 密 钥 ,一 个 用 户 丢失 钥匙 将 使 整个 网 络 不 安全 。 而 且 40 位 的 钥匙 在 
今天 很 容易 被 破解 ; 钥匙 是 静态 的 ,要 手工 维护 ,扩展 能 力 差 。 目 前 为 了 提高 安全 性 ,建议 
采用 128 位 加 密 钥 匙 。 


4. Wi-Fi 保护 接 入 


WPA(Wi-Fi Protected Access) 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 
新 技术 。 由 于 加 强 了 生成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几 
乎 无 法 计算 出 通用 密 钥 。 其 原理 为 根据 通用 密 钥 , 配 合 表示 电脑 MAC 地 址 和 分 组 信息 顺 
序 的 编号 ,分别 为 每 个 分 组 信息 生成 不 同 的 密 钥 。 然 后 与 WEP 一 样 将 此 密 钥 用 于 RC4 加 
密 处 理 。 通 过 这 种 处 理 , 所 有 客户 端的 所 有 分 组 信息 所 交换 的 数据 将 由 各 不 相同 的 密 钥 加 
密 而 成 。 无 论 收集 到 多 少 这 样 的 数据 ,要 想 破 解 出 原始 的 通用 密 钥 几乎 是 不 可 能 的 。WPA 
还 追加 了 防止 数据 中 途 被 算 改 的 功能 和 认证 功能 。 由 于 具备 这 些 功能 ,WEP 中 此 前 备 受 指 
责 的 缺点 得 以 全 部 解决 。WPA 不 仅 是 一 种 比 WEP 更 为 强大 的 加 密 方法 ,而 且 有 更 为 丰富 
的 内 涵 。 作 为 802. 11i 标准 的 子 集 ,WPA 包含 了 认证 、 加 密 和 数据 完整 性 校 验 三 个 组 成 部 
分 ,是 一 个 完整 的 安全 性 方案 。 


5. 国家 标准 


WAPI(WLAN Authentication and Privacy Infrastructure) , 即 无 线 局 域 网 鉴别 与 保密 
基础 结构 , 它 是 针对 IEEE 802. 11 中 的 WEP 协议 安全 问题 ,在 中 国 无 线 局 域 网 国家 标准 
GB 15629. 11 中 提出 的 WLAN 安全 解决 方案 。 同时 本 方案 已 由 ISO/IEC 授权 的 机 构 
IEEE Registration Authority 审查 并 获得 认可 。 它 的 主要 特点 是 采用 基于 公 钥 密码 体系 的 
证 书 机 制 ,真正 实现 了 移动 终端 (MT) 与 无 线 接 人 点 (AP) 间 的 双向 鉴别 。 用 户 只 要 安装 一 
张 证 书 就 可 在 覆盖 WLAN 的 不 同 地 区 漫游 ,方便 用 户 使 用 。 与 现 有 计 费 技术 兼容 的 服务 ， 
可 实现 按时 计 费 、 按 流量 计 费 、 包 月 等 多 种 计 费 方式 。AP 设置 好 证 书后 ,无 须 再 对 后 台 的 
AAA 服务 器 进行 设置 ,安装 、 组 网 便捷 ,易于 扩展 ,可 满足 家 庭 , 企 业 、 运 营 商 等 多 种 应 用 
模式 。 

6. 端口 访问 控制 技术 

该 技术 也 是 用 于 无 线 局 域 网 的 一 种 增强 型 网 络 安全 解决 方案 。 当 无 线 工 作 站 STA 与 
无 线 访问 点 AP 关联 后 ,是 否 可 以 使 用 AP 的 服务 要 取决 于 802. 1x 的 认证 结果 。 如 果 认证 


通过 , 则 AP 为 STA 打开 这 个 逻辑 端口 ,否则 不 允许 用 户 上 网 。802. 1x 要 求 无 线 工 作 站 安 
装 802. 1x 客户 端 软件 ,无 线 访问 点 要 内 骨 802. 1x 认证 代理 ,同时 它 还 作为 Radius 客户 端 ， 
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将 用 户 的 认证 信息 转发 给 Radius 服务 器 。802. 1x 除 提供 端口 访问 控制 能 力 之 外 ,还 提供 
基于 用 户 的 认证 系统 及 计 费 ,特别 适合 于 公共 无 线 接 入 解决 方案 。 

对 于 个 人 用 户 来 讲 , 具 体 的 防范 措施 包括 : 

(1) 建立 用 户 认 证 ,路 由 器 或 中 继 器 设备 不 要 使 用 厂商 默认 的 用 户 名 和 密码 ,应 将 其 修 
改 , 而 且 要 定期 进行 变更 。 

(2) 数据 加 密 , 开 启 无 线 网 络 加 密 设置 ,即使 在 无 线 网 络 上 传输 的 数据 被 截取 了 ,黑客 
也 没 办 法 (或 者 是 说 没 那么 容易 ) 解 读数 据 。 此 外 要 注意 的 是 ,如 果 家 庭 网 络 中 同时 存在 多 
个 无 线 网 络 设备 ,这 些 设备 的 加 密 技术 应 该 选取 同一 个 。 如 果 需 要 全 面 的 安全 保障 ,多 层 加 
密 更 好 。 

(3) 长 时 间 不 用 的 情况 下 关闭 网 络 。 为 了 不 给 黑客 可 乘 之 机 ,在 长 时 间 不 使 用 网 络 的 
情况 下 ,应 该 手动 关闭 网 络 功能 ; 或 者 在 路 由 器 内 设置 在 没有 数据 传输 量 的 情况 下 断 开 连 
接 ,在 路 由 器 允许 的 设备 接 入 的 情况 下 ,自动 连接 网 络 。 此 外 ,如 果 用 一 台 无 线路 由 器 ,而 是 
用 有 线 连接 ,那么 大 可 不 必 开 启 无 线 功 能 ; 为 了 保证 家 庭 网 络 和 信息 的 安全 ,对 无 线 设备 的 
信息 和 工作 原理 进行 全 面 了 解 , 也 是 防范 黑客 攻击 的 一 种 途径 。 

(4) 开启 网 络 内 每 一 台 设 备 的 网 络 防火 墙 。 一 旦 网 络 被 攻破 ,电脑 的 防火 墙 将 会 起 到 
积极 的 抵御 作用 ,给 信息 提供 一 层 安全 防护 。 

(5) 设置 MAC 地 址 过 滤 。 基 本 上 每 一 个 网 络 接点 设备 都 有 一 个 独一无二 的 MAC 地 
址 ,所 有 路 由 器 /中 继 器 等 路 由 设备 都 会 跟踪 所 有 经 过 它们 的 数据 包 源 MAC 地 址 。 通 常 ， 
许多 这 类 设备 都 提供 对 MAC 地 址 的 操作 ,这 样 可 以 建立 自己 的 标准 通过 MAC 地 址 列表 ， 
防止 非法 设备 (主机 等 ) 接 入 网 络 。 

(6) 为 网 络 设备 分 配 静 态 IP, 在 成 员 很 固定 的 家 庭 网 络 中 ,可 以 通过 为 网 络 成 员 设备 分 
配 固定 的 IP 地 址 ,然后 再 在 路 由 器 上 设 定 允许 接 入 设备 IP 地 址 列表 ,从 而 可 以 有 效 地 防止 
非法 入 侵 。 

(7) 确定 位 置 ,隐藏 好 家 庭 路 由 器 或 中 继 器 。 若 出 现 相 邻 网 络 覆盖 ,影响 网 络 传输 ,一 
且 发 生 这 种 情况 ,就 需要 为 路 由 器 或 中 继 器 设置 一 个 不 同 于 邻居 网 络 的 频段 (Channel) 。 根 
据 自 己 的 家 庭 ,选择 好 合适 的 有 效 范 围 的 路 由 器 或 中 继 器 ,并 选择 好 其 安放 的 位 置 ,一 般 来 
讲 ,安置 在 家 庭 最 中 间 的 位 置 是 最 合适 的 。 

(8) 启用 有 线 等 效 加 密 (Wired Equivalent Privacy, WEP)。WEP 是 IEEE 802. 11b 标 
准 中 最 基本 的 用 于 无 线 网 络 安全 的 协议 。 它 不 仅 可 以 对 无 线 网 络 访问 者 的 身份 进行 识别 ， 
防止 未 授权 用 户 的 访问 ,而 且 可 以 对 网 络 传输 的 数据 随机 生成 密 钥 进行 加 密 ,保护 数据 的 安 
全 。 目 前 WEP 已 被 发 现 有 明显 漏洞 ,是 一 个 容易 被 攻击 的 协议 ,攻击 者 可 以 通过 一 些 专业 
攻击 工具 将 其 轻易 破 密 ,但 是 对 非 专业 人 士 而 言 要 想 攻破 它 也 绝 非 易 事 ,何况 对 于 早期 的 无 
线 网 络 设备 只 能 使 用 WEP 加 密 。 

(9) 启用 Wi-Fi 保护 访问 (WirFi Protected Access,WPA)。 由 于 WEP 的 弱点 而 研究 
产生 了 WPA, 它 包括 WPA 和 WPA2 两 个 标准 。WPA 采用 一 种 基于 TKIP 的 方法 对 密 铀 
进行 加 密 , 并 包括 了 可 扩展 身份 验证 协议 (EAP) 以 保证 只 有 授权 客户 端 才 能 访问 ; WPA2 
采用 了 更 高 级 的 AES 加 密 方法 和 动态 改变 的 密 钥 ,让 密 钥 更 难 攻克 。 

(10) 设置 独特 的 服务 集 标识 符 (Service Set Identifier,SSID) 。 通 常 每 个 无 线 网 络 都 有 
一 个 SSID, 它 是 无 线 接 人 的 身份 标识 。 无 线 客户 端 只 有 知道 这 个 SSID 才能 进入 该 网 络 。 
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如 果 接 入 点 使 用 的 是 默认 的 SSID ,那么 任何 客户 端 都 可 以 与 该 接 人 点 连接 ; 如 果 接 入 点 使 
用 的 SSID 太 简 单 或 普通 ,也 容易 让 攻击 者 推测 出 而 进行 攻击 。 因 此 对 一 个 无 线 网 络 应 该 
采取 的 最 基本 的 措施 就 是 设置 一 个 独特 的 SSID。 

(11) 禁用 SSID 广播 。 如 果 无 线 网 络 开 启 了 SSID 广播 ,那么 在 其 无 线 信号 的 有 效 范 围 
内 ,任何 无 线 客户 端 都 能 利用 无 线 网 络 扫描 工具 接收 到 该 SSID 号 ,并 使 用 该 网 络 。 如 此 一 
来 ,该 网 络 将 面临 极 大 的 安全 威胁 。 因 此 ,应 采取 措施 禁用 SSID 广播 , 它 不 仅 不 会 影响 合 
法 用 户 的 正常 使 用 ,而 且 在 其 他 人 的 可 用 网 络 列表 中 它 将 是 不 可 见 的 。 

(12) 根据 MAC 地 址 对 客户 端 进行 过 滤 。 

MAC 地 址 是 指 介质 访问 控制 (Media Access Control,MAC) 地 址 ,是 厂商 生产 的 网 卡 
的 地 址 ,通俗 点 说 就 是 网 卡 的 物理 地 址 ,每 一 台 设 备 的 MAC 是 唯一 的 。 因 此 如 果 通 过 
MAC 地 址 过 滤 , 只 允许 指定 的 网 卡 访问 ,禁止 未 经 授权 的 用 户 入 侵 无 线 网 络 , 将 会 使 网 络 
多 一 层 安 全 防卫 。 

(13) 基于 端口 的 访问 控制 和 认证 协议 802. 1X。802. 1X 使 用 标准 安全 协议 (例如 
RADIUS) 提 供 集中 的 用 户 标 识 、 身 份 验证 ,动态 密 钥 管理 。802. 1X 对 连接 到 交换 机 端口 上 
的 客户 端 进行 认证 ,只 有 通过 验证 的 客户 端 ,才能 使 用 该 端口 ,并 利用 密 钥 进行 通信 ,否则 拒 
绝 连接 请 求 ,这 将 大 大 减 小 无 线 网 络 的 安全 风险 。 

(14) 防火 墙 CFirewall) 技 术 。 防 火 墙 是 指 隔 离 在 本 地 网 络 与 外 界 网 络 之 间 的 一 道 执 行 
控制 策略 的 防御 系统 。 它 对 网 络 之 间 传 输 的 数据 包 依照 一 定 的 安全 策略 进行 检查 ,以 决定 
通信 是 否 被 允许 ,对 外 屏蔽 内 部 网 络 的 信息 、 结 构 和 运行 状况 ,并 提供 单一 的 安全 和 审计 的 
安装 控制 点 ,从 而 达到 保护 内 部 网 络 的 信息 不 被 外 部 非 授权 用 户 访问 和 过 滤 不 良 信息 的 目 
的 。 目 前 防火 墙 技术 主要 包括 包 过 滤 技术 .应 用 代理 技术 和 状态 检测 技术 ,可 以 实现 对 输入 
进行 筛选 .防止 内 部 信息 的 外 泄 . 限 制 内 部 用 户 活动 ,对 网 络 使 用 情况 进行 记录 ,监控 等 。 但 
是 它 仍 然 存在 缺陷 ,例如 它 不 能 防范 不 经 过 它 的 攻击 ; 不 能 防范 来 自 内 部 网 络 的 攻击 ; 只 
能 识别 与 特征 数据 匹配 的 信息 ,如 果 攻 击 者 使 用 恶意 代码 或 攻击 伪装 ,只 要 能 成 功 避 开 特 征 
匹配 ,就 能 成 功 通过 防火 墙 等 。 

(15) 入 侵 检 测 系 统 (Intrusion Detection System,IDS) 。 入 侵 检 测 , 即 对 入 侵 行为 的 检 
测 , 目 前 也 已 经 用 于 无 线 网 络 。 它 通过 对 网 络 流量 进行 收集 与 分 析 , 并 与 IDS 检测 器 中 的 
攻击 特征 文件 进行 对 比 , 从 而 寻找 出 违反 安全 策略 的 入 侵 行为 并 进行 报警 。 由 此 可 见 IDS 
中 的 特征 文件 是 尤为 重要 的 ,因此 必须 保证 特征 文件 的 灵活 性 并 及 时 更 新 。IDS 仍 有 其 不 
足 , 例 如 它 只 能 检测 攻击 ,而 不 能 阻止 攻击 。 它 不 能 在 入 侵 行为 发 生 之 前 预报 警 。 它 的 特征 
文件 的 管理 和 维护 较 难 。 

(16) 虚拟 专用 网 (Virtual Private Network, VPN) 技 术 。 虚 拟 专用 网 (VPN) 指 的 是 在 
一 个 公共 网 络 上 构建 的 一 个 临时 的 .私有 的 、 安 全 的 连接 ,是 一 种 通过 巡 辑 划分 而 非 物理 划 
分 的 方式 ,从 公共 网 络 中 隔离 出 来 的 网 络 ,主要 采用 的 技术 包括 隧道 技术 .加 密 技 术 、 密 钥 管 
理 技术 访问 控制 技术 及 使 用 者 与 设备 身份 认证 技术 。 目 前 虚拟 专用 网 技术 也 用 于 无 线 环 
境 中 ,主要 是 针对 安全 要 求 高 的 大 型 无 线 网 络 。 但 是 它 面 对 的 最 大 威胁 是 一 旦 VPN 内 的 
人 员 发 起 攻击 ,人 们 将 无 能 为 力 。 即 便 如 此 ,使 用 了 VPN 的 无 线 网 络 仍 是 更 安全 的 ,也 是 
更 难 被 攻破 的 。 

(17) 不 允许 自动 连接 功能 。 许 多 设备 会 自动 连接 无 线 网 络 ,并 且 是 在 不 通知 用 户 的 情 
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况 下 连接 ,这 也 是 一 个 安全 隐患 ,应 该 将 其 禁止 。 


习题 


1. 无 线 网 络 的 调制 方式 包括 什么 ? 
2. 常用 的 无 线 网 络 安全 技术 包括 什么 ? 
3. 无 线 网 络 与 有 线 网 络 的 区 别 是 什么 ? 
4. 无 线 网 络 都 面临 哪些 安全 问题 ? 
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